Ogni volta che ci si connette a un sito web sicuro con Firefox o qualsiasi altro browser moderno, negoziati in background che determinano ciò che viene utilizzato per crittografare la connessione.
RC4 è un cifrario a flusso ed è supportato dalla maggior parte dei browser, anche se esso può essere utilizzato solo come ripiego (se altro fallimento dei negoziati) o per una white list di siti.
Gli exploit sono venuti alla luce in tempi recenti che sfruttano le debolezze RC4 che consente agli aggressori di eseguire attacchi in un lasso di tempo ragionevole, per esempio per decifrare web cookie, che spesso contengono informazioni di autenticazione.
Mozilla ha voluto rimuovere RC4 da Firefox completamente inizialmente in versione 38 o 39 del browser, ma ha deciso contro di esso sulla base di dati di telemetria. Così com’è adesso, RC4 non essere disattivato in Firefox 39 o 40.
Suggerimento: è possibile verificare se il browser web è vulnerabile visitando questo RC4 sito web. Se vedi rosso notifiche sulla pagina dopo pagina, il testo è stato condotto il che significa che esso è vulnerabile agli attacchi.
Va sottolineato che altri browser, Google Chrome, per esempio, sono vulnerabili. Google a quanto pare anche di lavoro in caso di caduta RC4 completamente il supporto in Cromo
Disattivazione RC4 in Firefox
Gli utenti di Firefox possono spegnere RC4 nel browser web completamente. Deve essere notato che alcuni siti protetti potrebbe non funzionare dopo aver fatto così.
- Digitare about:config nella barra degli indirizzi del browser e premere invio.
- Confermare che si sarà fare attenzione se viene visualizzato un messaggio.
- Ricerca per RC4 e fare doppio clic sul le seguenti preferenze per impostare loro di falso.
- di sicurezza.ssl3.ecdhe_ecdsa_rc4_128_sha
- di sicurezza.ssl3.ecdhe_rsa_rc4_128_sha
- di sicurezza.ssl3.rsa_rc4_128_md5
- di sicurezza.ssl3.rsa_rc4_128_sha
Una volta apportate le modifiche ricarica la pagina di prova linkato sopra. Si dovrebbe ottenere messaggi di errore di connessione invece di avvisi quando si fanno.
Se si esegue in problemi di connessione a siti sicuri dopo aver apportato le modifiche potrebbe essere necessario ripristinare il supporto per RC4. Per fare che ripetere i passaggi sopra e assicurarsi che i valori e le preferenze sono impostate su true in seguito.
Disattivazione RC4 in Chrome
Il processo è complicato in Chrome come non si può semplicemente passare un paio di preferenze nel web browser per disabilitare la RC4.
L’unica opzione valida è quella di eseguire Chrome con i parametri della riga di comando di blocco RC4. Ecco come è fatto (istruzioni per Windows).
- Fare clic destro sul Chrome di scelta rapida nella barra delle applicazioni del sistema operativo e fare clic di nuovo su Chrome, quindi selezionare proprietà dal menu contestuale che si apre.
- Questo dovrebbe aprire le proprietà del file eseguibile.
- Aggiungi –cipher suite-blacklist=0x0004,0x0005,0xc011,0xc007 come parametro alla fine della riga di Destinazione. Assicurarsi che vi sia spazio nella parte anteriore del parametro.
- Il target di questo aspetto sul mio computer dopo l’aggiunta del parametro: C:UsersMartinAppDataLocalChromiumApplicationchrome.exe –cipher suite-blacklist=0x0004,0x0005,0xc011,0xc007
- Nota: il vostro variano in base al vostro nome utente e la versione di Chrome è installato.
Il comando aggiunge RC4 alla cifra blacklist in modo che non sarà utilizzato dal browser. Se si esegue nuovamente il test, si noterà che si avrà esito negativo (che è buono).