Hvordan til at blokere usikre på RC4-koder i Firefox og Chrome

0
225

Når du opretter forbindelse til et sikkert websted bruger Firefox eller enhver anden moderne browser, forhandlinger sker i baggrunden, der bestemmer, hvad der bliver brugt til at kryptere forbindelsen.

RC4 er en stream cipher, der i øjeblikket understøttes af de fleste browsere, selvom det kan kun bruges som en fallback (hvis andre forhandlinger mislykkes) eller til whitelisten sites.

Udnytter, er kommet frem i lyset i den senere tid, der udnytter svagheder i RC4, som giver angriberne mulighed for at køre angreb inden for en rimelig tidsramme, for eksempel til at dekryptere cookies, der ofte indeholder godkendelse oplysninger.

Mozilla ønskede at fjerne RC4 fra Firefox helt i første omgang i en version, 38 eller 39 i browseren, men besluttede imod det, der er baseret på telemetri data. Som det ser ud lige nu, RC4 vil ikke være deaktiveret i Firefox 39 eller 40.

Tip: du kan kontrollere, om din web browser er sårbar, ved at besøge dette RC4 hjemmeside. Hvis du kan se, red meddelelser på side efter den tekst, der er blevet gennemført det betyder, at det er sårbar over for angreb.

Det skal bemærkes, at andre browsere, Google Chrome, for eksempel, er også sårbare. Google er åbenbart også arbejder på at droppe RC4 support helt i Chrome

Deaktivering af RC4 i Firefox

Firefox-brugere kan slukke RC4 i web-browseren helt. Det skal bemærkes, at nogle af sikre websteder, kan det mislykkes at arbejde efter at gøre det.

firefox disable rc4

  1. Skriv about:config i browserens adresselinje, og tryk på enter.
  2. Bekræft, at du vil være forsigtig, hvis du modtager en meddelelse.
  3. Søg efter RC4 og dobbelt-klikke på den følgende indstillinger for at vælge dem til false.
  4. sikkerhed.ssl3.ecdhe_ecdsa_rc4_128_sha
  5. sikkerhed.ssl3.ecdhe_rsa_rc4_128_sha
  6. sikkerhed.ssl3.rsa_rc4_128_md5
  7. sikkerhed.ssl3.rsa_rc4_128_sha

Når du har foretaget de ændringer, genindlæs test side der er linket til ovenfor. Du bør få forbindelse fejl beskeder i stedet for advarsler, når du gør det.

Hvis du løber ind i problemer tilslutning til sikre websteder efter de ændringer, du måske nødt til at gendanne støtte for RC4. At gøre, at du gentage ovenstående trin, og sørg for, at værdierne af de præferencer, som er indstillet til true bagefter.

Deaktivering af RC4 i Chrome

chrome disable rc4

Processen er kompliceret i Chrome, så du kan ikke bare skifte et par af præferencer i web-browser til at deaktivere RC4 i det.

Den eneste gyldige løsning er at køre Chrome med kommando-line parametre for at blokere for RC4. Her er, hvordan dette gøres (instruktioner til Windows).

  1. Højre-klik på Chrome-genvej på proceslinjen af operativsystemet, og højre-klik igen på Chrome, og vælg egenskaber fra genvejsmenuen, der åbnes.
  2. Dette skal du åbne egenskaberne for den eksekverbare fil.
  3. Tilføj –cipher suite-blacklist=0x0004,0x0005,0xc011,0xc007 som en parameter til slutningen af linjen Mål. Sørg for, at der er en plads i front af den parameter.
  4. Målet linjen ser sådan ud på min computer efter at tilføje parameteren: C:UsersMartinAppDataLocalChromiumApplicationchrome.exe –cipher suite-blacklist=0x0004,0x0005,0xc011,0xc007
  5. Bemærk: dit vil variere baseret på dit brugernavn, og den version af Chrome, som du har installeret.

Kommandoen tilføjer RC4 til cipher sorte liste, således at det ikke vil blive brugt af browseren. Hvis du køre den test, du vil bemærke, at det vil mislykkes (hvilket er godt).