När du ansluter till en säker webbplats använder Firefox eller någon annan modern webbläsare, förhandlingar sker i bakgrunden som avgör vad som är används för att kryptera anslutningen.
RC4 är en stream cipher som för närvarande stöds av de flesta webbläsare, även om det får endast användas som en reservlösning (om andra förhandlingar misslyckas) eller för godkända webbplatser.
Utnyttjar har kommit fram på senare tid att utnyttja svagheter i RC4 som göra det möjligt för angripare att köra attacker inom en rimlig tid, till exempel för att dekryptera web cookies som ofta innehålla autentiseringsinformation.
Mozilla ville ta bort RC4 från Firefox helt inledningsvis i version 38 eller 39 i webbläsaren, men bestämde mig mot det bygger på telemetri data. Som det ser ut just nu, RC4 kommer inte att stängas av i Firefox 39 eller 40.
Tips: du kan kontrollera om din webbläsare är sårbara genom att besöka denna RC4 webbplats. Om du ser rött meddelanden på sidan efter att den text som har gjorts innebär det att det är sårbar för attacker.
Det bör noteras att andra webbläsare, Google Chrome, till exempel, är sårbara. Google är tydligen också arbeta på att tappa RC4 stöd helt i Krom
Inaktivering av RC4 i Firefox
Firefox-användare kan stänga av RC4 i webbläsaren helt. Det bör noteras att vissa säkra webbplatser kanske inte fungerar efter att göra så.
- Skriv in about:config i adressfältet och tryck enter.
- Bekräfta att du kommer att vara försiktig om du får en uppmaning.
- Sök efter RC4 och dubbel-klicka på den följande inställningar för att ställa dem till falska.
- säkerhet.ssl3.ecdhe_ecdsa_rc4_128_sha
- säkerhet.ssl3.ecdhe_rsa_rc4_128_sha
- säkerhet.ssl3.rsa_rc4_128_md5
- säkerhet.ssl3.rsa_rc4_128_sha
När du har gjort de ändringar ladda test sida som är länkad ovan. Du bör få anslutning felmeddelanden istället för varningar när du gör det.
Om du stöter på problem med att ansluta till säkra platser efter att göra de förändringar som du kan behöva återställa stöd för RC4. För att göra att upprepa stegen ovan och se till att värdena på de inställningar är inställda på att sanna efteråt.
Inaktivering av RC4 i Chrome
Processen är komplicerad i Chrome så kan man inte bara byta ett par inställningar i webbläsaren för att inaktivera RC4 i det.
Den enda giltiga alternativ är att köra Chrome med parametrar på kommandoraden för att blockera RC4. Här är hur detta görs (instruktioner för Windows).
- Höger-klicka på Chrome-genvägar i aktivitetsfältet av operativsystemet, och höger-klicka igen på Chrome och välj egenskaper från snabbmenyn som öppnas.
- Detta bör öppna egenskaper av den körbara filen.
- Lägg till –chiffer-suite-svartlista=0x0004,0x0005,0xc011,0xc007 som en parameter till slutet av mållinjen. Se till att det finns ett utrymme framför parametern.
- Målet raden ser ut så här på min dator efter att lägga till parametern: C:UsersMartinAppDataLocalChromiumApplicationchrome.exe –chiffer-suite-svartlista=0x0004,0x0005,0xc011,0xc007
- Obs: ni kommer att variera baserat på ditt användarnamn och vilken version av Chrome som du har installerat.
Kommandot lägger till RC4 för att chiffer svartlista så att det inte kommer att användas av webbläsare. Om du kör testet, du kommer att märka att det kommer att misslyckas (vilket är bra).