アカウント名:
パスワード:
なぜこんなに遅くなったのかというと、現在RC4必須のサイトがまだ少し残っており、根拠は無いものの企業サイトでの利用率が高いという噂があるためとのこと
RC4 の終焉が遅れた理由については、今から3~4年前にSSL/TLS において CBCモードで AES 等のブロック暗号を使っている場合に、BEAST攻撃やLucky13攻撃などを受ける危険が指摘されるようになり、RC4 を使えば安全だと推奨する人たちが増えて、実際に多くの企業のサーバで SSL/TLS の Cipher リスト(Server hello)で RC4 の優先度を上げたからだと思います。
そういった経緯もあって、暗号学的に弱いとされていた RC4 がなかなか無効にならず、騒がれる対象が SHA1 の脆弱さ、SHA2 証明書への移行に集中していたのでは?
例えば、
Android標準ブラウザは更新が無く(又は遅く)脆弱で危険なので、Firefox for AndroidやChrome for Androidのみを考慮すれば十分な気がします。
古いアンドロイド、標準の「ブラウザ」から乗り換えをhttp://www.tabroid.jp/news/2015/01/webview-updata-end.html [tabroid.jp]
IEについては、アップデートの推奨や、設定の変更を周知するしか無いでしょうね。
アプリからのアクセスで標準ブラウザのコンポーネントを利用しているんじゃなかった?
脆弱性とは関係ないが、ブラウザならちゃんと確認している証明書関係がアプリの自前実装だとメタメタという罠も
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
BEASTを恐れてRC4を推奨していた時期もあったが…… (スコア:2)
RC4 の終焉が遅れた理由については、今から3~4年前にSSL/TLS において CBCモードで AES 等のブロック暗号を使っている場合に、BEAST攻撃やLucky13攻撃などを受ける危険が指摘されるようになり、RC4 を使えば安全だと推奨する人たちが増えて、実際に多くの企業のサーバで SSL/TLS の Cipher リスト(Server hello)で RC4 の優先度を上げたからだと思います。
そういった経緯もあって、暗号学的に弱いとされていた RC4 がなかなか無効にならず、騒がれる対象が SHA1 の脆弱さ、SHA2 証明書への移行に集中していたのでは?
例えば、
Re: (スコア:0)
Android標準ブラウザは更新が無く(又は遅く)脆弱で危険なので、Firefox for AndroidやChrome for Androidのみを考慮すれば十分な気がします。
古いアンドロイド、標準の「ブラウザ」から乗り換えを
http://www.tabroid.jp/news/2015/01/webview-updata-end.html [tabroid.jp]
IEについては、アップデートの推奨や、設定の変更を周知するしか無いでしょうね。
Re: (スコア:0)
アプリからのアクセスで標準ブラウザのコンポーネントを利用しているんじゃなかった?
Re:BEASTを恐れてRC4を推奨していた時期もあったが…… (スコア:0)
脆弱性とは関係ないが、ブラウザならちゃんと確認している証明書関係がアプリの自前実装だとメタメタという罠も