自堕落な技術者の日記 : JRE 1.4-1.6やAndroidのAPIを使ったHTTPS接続のCipherSuitesがRC4-MD5を優先しているかなりヤバい話 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 OWASP Night 8thに行ってきて、iOSやAndroidのいろんなアプリのHTTPS接続の検証がいい加減という話を聞いてきたんですが、それよりもAndroidのデフォルトブラウザChromeが失効検証をしない(=証明書の取り消し確認をしない)という事だって十分問題なんじゃないかなぁとか思ったりしてました。 そういえば以前、秋山さんにAndroidだとHTTPS通信がRC4-MD5になっちゃうという話を聞いて、実際にAndroid上のChromeやOperaやFireFoxを見て全く問題ないことを確認し「よしよし安心だ」などと思っていました。 あれれ?待てよ、秋山さんが言っていたのはブラウザではなく、APIで呼び出したときのCiphe
RFC 5246: The Transport Layer Security (TLS) Protocol Version 1.2
[RFC Home] [TEXT|PDF|HTML] [Tracker] [IPR] [Errata] [Info page] Obsoleted by: 8446 PROPOSED STANDARD Updated by: 5746, 5878, 6176, 7465, 7507, 7568, 7627, 7685, 7905, 7919, 8447, 9155 Errata Exist Network Working Group T. Dierks Request for Comments: 5246 Independent Obsoletes: 3268, 4346, 4366 E. Rescorla Updates: 4492 RTFM, Inc. Category: Standards Track August 2008 The Transport Layer Security
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
unsupported SSL ciphersuite
