Hogyan blokkolhatjuk a nem biztonságos RC4 titkosítást a Firefoxban és a Chrome-ban

• Kategória: Biztonság

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Válassza Ki Az Operációs Rendszert Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Válasszon Kivetési Programot (Opcionálisan) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Írja Le A Problémáját

Kap Egy Választ

Küldje El E -Mailben Mutasd Meg Az Oldalon

Amikor csatlakozik egy biztonságos weboldalhoz Firefox vagy bármely más modern böngésző segítségével, a háttérben tárgyalások zajlanak, amelyek meghatározzák, hogy mit használnak a kapcsolat titkosításához.

Az RC4 egy adatfolyam-rejtjel, amelyet jelenleg a legtöbb böngésző támogat, annak ellenére, hogy csak tartalékként (ha más tárgyalások kudarcot vall) vagy engedélyezett listára felvett webhelyeknél használható.

hasznosítja van az utóbbi időben felfedeződtek, amelyek kihasználják az RC4 gyengeségeit, amelyek lehetővé teszik a támadók számára, hogy ésszerű időn belül támadásokat hajtsanak végre, például hogy hitelesítési információkat tartalmazó webes sütik dekódolását végezzék.

Mozilla akart kezdetben teljesen eltávolítani az RC4-et a Firefox-ból a böngésző 38. vagy 39. verziójában, de a telemetriai adatok alapján úgy döntött, hogy ellenzi azt. A jelenlegi állapotban az RC4 nem lesz letiltva a Firefox 39 vagy 40 esetén.

Tipp : ellenőrizheti, hogy a böngésző sebezhető-e a következővel az RC4 látogatása weboldal. Ha a szöveg elvégzése után piros értesítéseket lát az oldalon, az azt jelenti, hogy érzékeny a támadásokra.

Meg kell jegyezni, hogy más böngészők, például a Google Chrome, szintén sebezhetők. A Google nyilvánvalóan szintén dolgozik csepegtető RC4 teljes mértékben támogatja a Chrome-ot

Az RC4 letiltása a Firefoxban

A Firefox felhasználók teljes mértékben kikapcsolhatják az RC4-et a böngészőben. Meg kell jegyezni, hogy egyes biztonságos webhelyek ezt követően valószínűleg nem működnek.

1. Írja be a böngésző címsorába a about: config elemet, és nyomja meg az Enter billentyűt.
2. Erősítse meg, hogy óvatos lesz, ha rákérdez.
3. Keresse meg az RC4 és a dupla kattintás a következő preferenciákon hamis .
4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
5. security.ssl3.ecdhe_rsa_rc4_128_sha
6. security.ssl3.rsa_rc4_128_md5
7. security.ssl3.rsa_rc4_128_sha

A módosítások elvégzése után töltse be újra a fent hivatkozott tesztoldalt. Amikor ezt csinálja, figyelmeztetések helyett kapcsolati hiba üzeneteket kell kapnia.

Ha a módosítások elvégzése után problémák merülnek fel a biztonságos webhelyekhez való kapcsolódással, akkor esetleg vissza kell állítania az RC4 támogatását. Ehhez ismételje meg a fenti lépéseket, és ellenőrizze, hogy a preferenciák értékei igazak-e.

Az RC4 letiltása a Chrome-ban

A folyamat bonyolult a Chrome-ban, mivel nem egyszerűen átválthat néhány beállítást a böngészőben az RC4 letiltásához.

Az egyetlen érvényes lehetőség a Chrome futtatása olyan parancssori paraméterekkel, amelyek blokkolják az RC4-et. Így történik meg (utasítások a Windows számára).

1. Kattintson a jobb gombbal az operációs rendszer tálcáján található Chrome parancsikonra, majd kattintson jobb gombbal a Chrome-ra, és válassza a lehetőséget tulajdonságok a megnyíló helyi menüből.
2. Ennek meg kell nyitnia a futtatható fájl tulajdonságait.
3. hozzáad --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007 paraméterként a Cél sor végére. Ellenőrizze, hogy van-e szóköz a paraméter előtt.
4. A célsor így néz ki a számítógépemen, a paraméter hozzáadása után: C: Users Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
5. Megjegyzés: a tiéd a felhasználónevedtől és a telepített Chrome verziótól függ.

A parancs hozzáteszi az RC4-t a rejtjel-feketelistához, így a böngésző nem fogja használni. Ha újrafuttatja a tesztet, akkor észreveszi, hogy sikertelen lesz (ami jó).