弱い暗号スイートがクライアント、特にモバイルアプリでまだ使用されているのはなぜですか?
一部のモバイルアプリが使用する暗号スイートのコレクション(Client Hello)を調べていますが、それらの大部分にTLS_RC4_128_MD5とTLS_RC4_128_SHAが含まれていることに気付きました。 OWASPトランスポート層保護に関するチートシート https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet によると、RC4とMD5は脆弱であると見なされているため、これ以上使用しないでください。したがって、なぜ開発者がそれらを使い続けるのか疑問に思います。
ありがとうございました
開発者は意図的にそれらを使用していません。開発者は、そのプラットフォームのデフォルトを使用してアプリケーションを開発しており、デフォルトは、「ユーザーがハッキングされる可能性を減らす」よりも、「ユーザーに不満を言わせない」ことを常に強く支持してきました。
さらに、古いクライアントとライブラリは、OS開発者、ライブラリ開発者、デバイスメーカー、開発者、およびユーザーがすべてデフォルトをアップグレードまたは変更することを望まないため、広く使用されているにもかかわらず「サポートされなくなった」ため、更新されることはめったにありません。
Java 8 デフォルトで弱いスイートを引き続きサポートします。
Win7のIE11 はデフォルトでRC4をサポートしますが、I Win8.1のE11 はデフォルトではサポートしません。
など 。