Sto esaminando la raccolta di suite di crittografia utilizzate da alcune app mobili (Client Hello) e ho notato che la maggior parte di esse include TLS_RC4_128_MD5 e TLS_RC4_128_SHA . In base al protocollo OWASP Transport Layer Cheat Sheet link , RC4 e MD5 sono considerati deboli e non dovrebbero essere utilizzati Di Più. Quindi mi chiedo perché gli sviluppatori continuano a usarli?
Grazie
Gli sviluppatori non li stanno deliberatamente utilizzando. Gli sviluppatori stanno sviluppando applicazioni usando qualunque sia il default per quella piattaforma, e le impostazioni predefinite sono ora e hanno sempre strongmente favorito "non far mai in modo che un utente si accorga di lamentarsi" oltre "di ridurre la possibilità che l'utente venga violato". p>
Inoltre, i client e le librerie meno recenti vengono aggiornati raramente, dal momento che sono "non più supportati" nonostante siano ampiamente utilizzati perché gli sviluppatori del sistema operativo, gli sviluppatori di librerie, i produttori di dispositivi, gli sviluppatori e gli utenti non sono disposti ad aggiornare e / o cambia i valori predefiniti.
Java 8 supporta ancora le suite deboli per impostazione predefinita.
IE 11 su Win 7 supporta ancora RC4 per impostazione predefinita, mentre I E 11 su Win 8.1 non per impostazione predefinita.