to topto bottom

モバイルファースト時代のマルチデバイス対応を確実・簡単に

検証の現場から(2016年6月)

先月、あるお客様の案件にて、「Android標準ブラウザではアクセスできるけど、
最新版のChromeではアクセスできない!」という事象が発生しました。
エラーメッセージを詳しく見てみると、「RC4」というものがサポートされなく
なったとのことでした。

■RC4とはなんぞや?
暗号化アルゴリズムの一つで、ブラウザやオンラインサービスで広く使われてい
る(いた?)そうですが、その脆弱性ゆえに、主要ブラウザ各社が2016年初頭
から対応打ち切りを表明しています。

■主要ブラウザのRC4脆弱性対策状況
現時点での主要ブラウザのRC4対策状況は以下のようになっています。

 IE11、Edge … 2016年4月アップデートで無効に
 Android標準ブラウザ … 対策なし?(メーカーによる?)
 Chrome … バージョン48(2016年1月)で無効に
 FireFox … バージョン44(2016年1月)で無効に
 Safari … iOS9で強制使用されないような対策はしているが、無効ではない

■今後のこと
冒頭のケースは、Chromeでアクセスできない不具合よりも、【アクセスできてし
まう危険性】を発見できた事のほうが重要で、数日後にはサイト側に対策が講じ
られたようです。

ブラウザ側のRC4対策状況を見ると、利用者が多い「Android標準ブラウザ」
「Safari(iPhoneなど)」では対策されていないのが現状となります。
Webサイト側でRC4を利用可能な割合は低下しつつあるようですが、エンドユー
ザー様を守るためにもWebサービス提供者側での対策が必要だということを、
ここで改めて発信できればと思います。
 

このエントリーをはてなブックマークに追加