Når du kobler til et sikkert webområde som bruker Firefox eller noen annen moderne nettleser, forhandlinger skje i bakgrunnen for å avgjøre hva som blir brukt til å kryptere tilkoblingen.
RC4 er en stream cipher som støttes av de fleste nettlesere selv om det kan bare bli brukt som et tilbakefall (hvis andre forhandlinger ikke bestått) eller for hvitelistet nettsteder.
Utnytter har kommet til lys i nyere tid som utnytter svakheter i RC4 som gjøre det mulig for angripere å kjøre angrep på en rimelig tidsramme, for eksempel for å dekryptere cookies som ofte inneholder autentiseringsinformasjon.
Mozilla ønsket å fjerne RC4 fra Firefox helt først i versjon 38 eller 39 av nettleseren, men bestemte seg mot det basert på telemetridata. Som det står akkurat nå, RC4 vil ikke bli deaktivert i Firefox 39 eller 40.
Tips: du kan sjekke om din nettleser er sårbare ved å besøke denne RC4 nettstedet. Hvis du ser røde varsler på siden etter at teksten har blitt gjennomført, det betyr at det er sårbare for angrep.
Det må bemerkes at andre nettlesere, Google Chrome, for eksempel, er sårbare, så vel. Google er tydeligvis også arbeider på å slippe RC4 støtte helt i Chrome
Deaktivering av RC4 i Firefox
Firefox-brukere kan slå av RC4 i nettleseren helt. Det må bemerkes at noen sikre områder kan ikke virker når du har gjort det.
- Skriv inn about:config i nettleserens adressefelt, og trykk på enter.
- Bekreft at du vil være forsiktig hvis du mottar en melding.
- Søk etter RC4 og dobbeltklikk på følgende innstillinger for å angi dem til false.
- sikkerhet.ssl3.ecdhe_ecdsa_rc4_128_sha
- sikkerhet.ssl3.ecdhe_rsa_rc4_128_sha
- sikkerhet.ssl3.rsa_rc4_128_md5
- sikkerhet.ssl3.rsa_rc4_128_sha
Når du har gjort endringene laste test siden linket over. Bør du få tilkoblingsfeil meldinger i stedet for advarsler når du gjør det.
Hvis du støter på problemer med å koble til sikre områder etter at du har gjort endringer, kan du trenger å gjenopprette støtte for RC4. For å gjøre at du gjenta trinnene over og sørg for at verdiene av innstillinger er satt til true etterpå.
Deaktivering av RC4 i Chrome
Prosessen er komplisert i Chrome-så du kan ikke bare bytte et par innstillinger i nettleseren for å deaktivere RC4 i det.
Den eneste gyldige alternativet er å kjøre Chrome med kommandolinje parametere som blokkerer RC4. Her er hvordan dette er gjort (instruksjoner for Windows).
- Høyre-klikk på Chrome-snarvei i oppgavelinjen av operativsystemet, og høyre-klikk igjen på Chrome, og velg egenskaper fra hurtigmenyen som åpnes opp.
- Dette bør åpne egenskaper for den kjørbare filen.
- Legg til –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 som en parameter til enden av ledningen. Sørg for at det er en plass i front av parameteren.
- Mål-linjen ser ut som dette på min datamaskin etter at du har lagt parameter: C:UsersMartinAppDataLocalChromiumApplicationchrome.exe –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
- Merk: din vil variere basert på ditt brukernavn og versjon av Chrome du har installert.
Kommandoen legger RC4 til cipher svarteliste slik at det ikke vil bli brukt av nettleseren. Hvis du kjører testen på nytt, vil du legge merke til at det vil mislykkes (som er bra).