Za każdym razem, gdy łączysz się z bezpieczną witryną za pomocą przeglądarki Firefox lub innej nowoczesnej przeglądarki, w tle odbywają się negocjacje określające, co jest używane do szyfrowania połączenia.
RC4 to szyfr strumieniowy, który jest obecnie obsługiwany przez większość przeglądarek, nawet jeśli może być używany tylko jako rezerwowy (jeśli inne negocjacje się nie powiodą) lub w przypadku witryn z białej listy.
W ostatnim czasie pojawiły się exploity wykorzystujące słabe punkty RC4, które pozwalają atakującym na przeprowadzenie ataku w rozsądnym czasie, na przykład w celu odszyfrowania internetowych plików cookie, które często zawierają informacje uwierzytelniające.
Mozilla chciała całkowicie usunąć RC4 z Firefoksa w wersji 38 lub 39 przeglądarki, ale zdecydowała się tego nie robić na podstawie danych telemetrycznych. W obecnej postaci RC4 nie zostanie wyłączony w przeglądarce Firefox 39 lub 40.
Wskazówka: możesz sprawdzić, czy twoja przeglądarka jest zagrożona, odwiedzając tę stronę RC4. Jeśli po przeprowadzeniu tekstu na stronie widoczne są czerwone powiadomienia, oznacza to, że jest podatny na ataki.
Należy zauważyć, że inne przeglądarki, na przykład Google Chrome, są również podatne na ataki. Najwyraźniej Google pracuje również nad całkowitym usunięciem obsługi RC4 w Chrome
Wyłączanie RC4 w Firefoksie
Użytkownicy przeglądarki Firefox mogą całkowicie wyłączyć RC4 w przeglądarce internetowej. Należy zauważyć, że niektóre bezpieczne witryny mogą przestać działać.
- Wpisz about: config w pasku adresu przeglądarki i naciśnij Enter.
- Potwierdź, że będziesz ostrożny, jeśli otrzymasz monit.
- Wyszukaj RC4 i podwójne kliknięcie na następujące preferencje, aby je ustawić fałszywe.
- security.ssl3.ecdhe_ecdsa_rc4_128_sha
- security.ssl3.ecdhe_rsa_rc4_128_sha
- security.ssl3.rsa_rc4_128_md5
- security.ssl3.rsa_rc4_128_sha
Po wprowadzeniu zmian ponownie załaduj stronę testową, do której prowadzi link powyżej. Powinieneś wtedy otrzymywać komunikaty o błędach połączenia zamiast ostrzeżeń.
Jeśli po wprowadzeniu zmian wystąpią problemy z łączeniem się z bezpiecznymi witrynami, może być konieczne przywrócenie obsługi RC4. Aby to zrobić, powtórz powyższe kroki i upewnij się, że wartości preferencji są później ustawione na true.
Wyłączanie RC4 w Chrome
Proces jest skomplikowany w Chrome, ponieważ nie można po prostu zmienić kilku preferencji w przeglądarce internetowej, aby wyłączyć RC4.
Jedyną prawidłową opcją jest uruchomienie Chrome z parametrami wiersza poleceń, które blokują RC4. Oto jak to się robi (instrukcje dla systemu Windows).
- Kliknij prawym przyciskiem myszy skrót Chrome na pasku zadań systemu operacyjnego, a następnie kliknij prawym przyciskiem myszy Chrome i wybierz nieruchomości z menu kontekstowego, które się otworzy.
- To powinno otworzyć właściwości pliku wykonywalnego.
- Dodaj —cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007 jako parametr na końcu linii docelowej. Upewnij się, że przed parametrem jest spacja.
- Linia docelowa wygląda tak na moim komputerze po dodaniu parametru: C: \ Users \ Martin \ AppData \ Local \ Chromium \ Application \ chrome.exe —cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
- Uwaga: Twoje będą się różnić w zależności od nazwy użytkownika i zainstalowanej wersji Chrome.
Polecenie dodaje RC4 do czarnej listy szyfrów, aby nie była używana przez przeglądarkę. Jeśli ponownie uruchomisz test, zauważysz, że się nie powiedzie (co jest dobre).
Podsumowanie
Nazwa artykułu
Jak zablokować niezabezpieczony szyfr RC4 w Firefox i Chrome
Opis
Dowiedz się, jak zablokować niezabezpieczony szyfr RC4, który może być używany do nawiązywania bezpiecznych połączeń w Chrome i Firefox.
