Kaip blokuoti nesaugų RC4 šifrą „Firefox“ ir „Chrome“

• Kategorija: Saugumas

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

Pasirinkite Operacinę Sistemą Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pasirinkite Projekcijos Programą (Pasirinktinai) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Apibūdinkite Savo Problemą

Gaukite Atsakymą

Atsiųskite Man El. Paštu Rodyti Svetainėje

Kai prisijungiate prie saugios svetainės naudodami „Firefox“ ar bet kurią kitą šiuolaikinę naršyklę, fone vyksta derybos, kurios nustato, kas naudojama šifruoti ryšį.

RC4 yra srauto šifras, kurį šiuo metu palaiko dauguma naršyklių, net jei jis gali būti naudojamas tik kaip atsarginė dalis (jei kitos derybos nepavyks) arba įtrauktos į baltojo sąrašo svetaines.

Išnaudoja turėti pastaruoju metu paaiškėjo, kad pasinaudojama RC4 trūkumais, leidžiančiais užpuolikams vykdyti priepuolius per pagrįstą laiką, pavyzdžiui, iššifruoti interneto slapukus, kuriuose dažnai yra autentifikavimo informacija.

Mozilla norėjo iš pradžių pašalinti „RC4“ iš „Firefox“ iš 38 ar 39 versijos naršyklės, tačiau, remdamasis telemetrijos duomenimis, nusprendė to nedaryti. Šiuo metu RC4 nebus išjungtas „Firefox 39“ ar „40“.

Patarimas : galite patikrinti, ar jūsų interneto naršyklė nėra pažeidžiama lankantis šiame RC4 Interneto svetainė. Jei po teksto atlikimo puslapyje matote raudonus pranešimus, tai reiškia, kad jis yra pažeidžiamas atakų.

Reikia pažymėti, kad kitos naršyklės, pavyzdžiui, „Google Chrome“, taip pat yra pažeidžiamos. Matyt, „Google“ taip pat dirba numetus RC4 visiškai palaikyti „Chrome“

RC4 išjungimas „Firefox“

„Firefox“ vartotojai gali visiškai išjungti RC4 interneto naršyklėje. Reikia pažymėti, kad kai kurios saugios svetainės po to gali neveikti.

1. Įveskite apie: config naršyklės adreso juostoje ir paspauskite Enter.
2. Patvirtinkite, kad būsite atsargūs, jei gausite raginimą.
3. Ieškokite RC4 ir dukart spustelėkite dėl šių nustatymų melagingas .
4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
5. security.ssl3.ecdhe_rsa_rc4_128_sha
6. security.ssl3.rsa_rc4_128_md5
7. security.ssl3.rsa_rc4_128_sha

Kai atliksite pakeitimus, iš naujo įkelkite aukščiau pateiktą bandymo puslapį. Vietoj įspėjimų turėtumėte gauti ryšio sutrikimo pranešimus, kai tai padarysite.

Jei po pakeitimų kyla problemų jungiantis prie saugių svetainių, gali reikėti atkurti RC4 palaikymą. Norėdami tai padaryti, pakartokite aukščiau nurodytus veiksmus ir įsitikinkite, kad nustatytų parametrų reikšmė bus teisinga.

RC4 išjungimas „Chrome“

„Chrome“ procesas yra sudėtingas, nes negalite tiesiog perjungti kelių interneto naršyklės nuostatų, kad joje išjungtumėte RC4.

Vienintelė tinkama parinktis yra paleisti „Chrome“ su komandų eilutės parametrais, kurie blokuoja RC4. Štai kaip tai daroma (instrukcijos „Windows“).

1. Dešiniuoju pelės mygtuku spustelėkite operacinės sistemos užduočių juostoje esantį „Chrome“ spartųjį klavišą, dar kartą dešiniuoju pelės mygtuku spustelėkite „Chrome“ ir pasirinkite savybes iš atsidariusio kontekstinio meniu.
2. Tai turėtų atidaryti vykdomojo failo ypatybes.
3. Papildyti - šifras-rinkinys-juodasis sąrašas = 0x0004,0x0005,0xc011,0xc007 kaip eilutės „Tikslas“ pabaigos parametrą. Įsitikinkite, kad prieš parametrą yra tarpas.
4. Taikomoji eilutė mano kompiuteryje atrodo taip, pridėjus parametrą: C: Vartotojai Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
5. Pastaba: jūsų pasirinkimas skirsis atsižvelgiant į jūsų vartotojo vardą ir įdiegtą „Chrome“ versiją.

Komanda prideda RC4 prie juodojo šifro sąrašo, kad naršyklė jo nenaudotų. Jei pakartosite testą, pastebėsite, kad jis nepavyks (o tai gerai).