Estoy examinando la colección de suites de cifrado que usan algunas aplicaciones móviles (Cliente Hola) y noté que la mayoría de ellas incluyen TLS_RC4_128_MD5 y TLS_RC4_128_SHA . De acuerdo con la Hoja de referencia de protección de la capa de transporte OWASP enlace , RC4 y MD5 se consideran débiles y no deben utilizarse Más. Por lo tanto, me pregunto por qué los desarrolladores siguen usándolos.
Gracias
Los desarrolladores no los están utilizando deliberadamente. Los desarrolladores están desarrollando aplicaciones usando cualquiera de los valores predeterminados para esa plataforma, y los valores predeterminados son ahora y siempre han sido fuertemente favorecidos "nunca hace que un usuario note que se quejen de que" sobre "reduce la posibilidad de que el usuario sea hackeado".
Además, los clientes y bibliotecas más antiguos rara vez se actualizan, ya que "ya no son compatibles" a pesar de estar en uso generalizado porque los desarrolladores del sistema operativo, los desarrolladores de bibliotecas, los fabricantes de dispositivos, los desarrolladores y los usuarios no están dispuestos a actualizar y / o cambiar los valores por defecto.
Java 8 todavía admite suites débiles de forma predeterminada.
IE 11 en Win 7 todavía es compatible con RC4 de forma predeterminada, mientras que E 11 en Win 8.1 no lo hace por defecto.
Y demás .