パスワードを忘れた? アカウント作成
12724453 story
インターネットエクスプローラ

4月の月例更新でIE 11とMicrosoft EdgeでのRC4暗号サポートがデフォルトで無効化へ 17

ストーリー by headless
終了 部門より
Microsoftは16日、Internet Explorer 11およびMicrosoft EdgeでのRC4暗号サポートを4月に終了することを発表した(Microsoft Edge Dev Blogの記事Neowinの記事VentureBeatの記事)。

4月12日の月例更新でパッチが配布され、デフォルトでRC4暗号は無効となる。RC4暗号の危険性は以前から指摘されており、Microsoftでは2013年からRC4暗号の無効化を推奨している。

昨年9月1日にはMicrosoftとGoogle、Mozillaが同時にWebブラウザーにおけるデフォルトでのRC4暗号無効化を2016年の早い時期に実施することを発表。GoogleとMozillaはそれぞれ1月にリリースしたFirefox 44とChrome 48でRC4暗号をデフォルトで無効にしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by caret (47533) on 2016年03月21日 9時48分 (#2984173) 日記
    Opera 35 [opera.com]でRC4 暗号のサポートを削除したようです。
    あとOpera 12.18 [it.srad.jp]も。
    • by Anonymous Coward on 2016年03月21日 9時59分 (#2984176)

      Opera 15以降はだいたいOpera N==Chrome N+13だから何も驚きはない。Opera 12系が更新されたのは驚いたけど。
      あとSSLv3を無効にする前にChromeは採用しなかった独自対策を導入したのにも驚いた。NPAPIのサポートを独自に継続していたりOpera 36(==Chrome 49はWindows XPをサポートする最後のバージョン)をLTSにしてセキュリティ修正をバックポートする予定だったりと、単なるChromiumのデッドコピーではなくそれなりに開発リソースを費やしている様子が伺える。

      親コメント
      • by Anonymous Coward

        加算では無くて減算ではないのか

        • by Anonymous Coward

          N=36の具体例まで書いてるのになぜそう思ったのか

          • 数式的に書くと
            Opera (n) == Chrome (n-13)
            的になりそうだけどね

            同じN使うとややこしくなるな...Opera m = Chrome n (m + 13 = n)
            的なのがいいかな?

            --
            M-FalconSky (暑いか寒い)
            親コメント
            • やっぱなんか間違えてるな...
              最初のはnに同じ数値なら
              Opera (n) == Chrome (n+13)が正しいか

              nをChrome側を正(というか基準)にしたくなっちゃうのがいけなかったかな

              --
              M-FalconSky (暑いか寒い)
              • by Anonymous Coward

                確かに Chrome 基準で考えたとき、
                 Chrome のバージョンから 13 引いたのが Opera のバージョンになる
                 →Chrome N-13 じゃね
                と錯覚はするね。

                printf("Opera %d==Chrome %d+13", N, N);
                となら皆納得するかな

  • by Anonymous Coward on 2016年03月21日 9時49分 (#2984174)

    AppleはいつになったらSafariのRC4を無効にするんですかねえ。

    • by Anonymous Coward on 2016年03月22日 11時48分 (#2984438)

      MSもサーバ側を早くデフォルトで無効化してほしいですよね

      親コメント
    • by Anonymous Coward

      BEAST対策として、SSL 3.0ではCBCモードを完全に無効化してRC4推しなんてアホなことやらかした前科持ちですからねぇ

      • まるで Apple が RC4推しをしたかのような言い方だが、そんな記憶は無いな。ソースはありますか。それとも単なるアンチですか。

        JVNDB-2011-002305: SSL と TLS の CBC モードに選択平文攻撃の脆弱性 [jvndb.jvn.jp]でも、RC4 を優先する方法が紹介されている。

        [ワークアラウンドを実施する]
        以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

         ・TLS 1.1 や TLS 1.2 を有効にする
         ・RC4 アルゴリズムを優先して使用する

        なお、これらのワークアラウンドを有効にするには、サーバとクライアントの双方で対応する必要があります。

        親コメント
  • by Anonymous Coward on 2016年03月21日 10時02分 (#2984177)

    変わったのは、具体的な日程が発表されたことと他社ブラウザの事実関係についての更新だけですな。

  • by Anonymous Coward on 2016年03月21日 15時08分 (#2984232)

    特に余計なことするな [it.srad.jp]とか言ってたヤツ

    • by Anonymous Coward

      まずどう批判して欲しいのか書かないと。

      • by Anonymous Coward

        業務で設定を変えられないサーバーもあるのにけしからん
        互換性を大事にするとは何だったのか
        Microsoft は謝罪と賠償を

        みたいな?

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...