วิธีบล็อกรหัส RC4 ที่ไม่ปลอดภัยใน Firefox และ Chrome

• หมวดหมู่: ความปลอดภัย

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

เมื่อใดก็ตามที่คุณเชื่อมต่อกับเว็บไซต์ที่ปลอดภัยโดยใช้ Firefox หรือเบราว์เซอร์สมัยใหม่อื่น ๆ การเจรจาจะเกิดขึ้นในพื้นหลังเพื่อกำหนดว่าจะใช้อะไรในการเข้ารหัสการเชื่อมต่อ

RC4 เป็นรหัสสตรีมที่เบราว์เซอร์ส่วนใหญ่รองรับในปัจจุบันแม้ว่าจะใช้เป็นทางเลือกเท่านั้น (หากการเจรจาอื่นล้มเหลว) หรือสำหรับไซต์ที่อนุญาตพิเศษ

การหาประโยชน์ มี พบว่าในช่วงเวลาล่าสุดที่ใช้ประโยชน์จากจุดอ่อนใน RC4 ซึ่งทำให้ผู้โจมตีสามารถทำการโจมตีได้ในกรอบเวลาที่เหมาะสมเช่นการถอดรหัสคุกกี้ของเว็บซึ่งมักมีข้อมูลการตรวจสอบสิทธิ์

Mozilla ต้องการ เพื่อลบ RC4 ออกจาก Firefox โดยสมบูรณ์ในตอนแรกในเวอร์ชัน 38 หรือ 39 ของเบราว์เซอร์ แต่ได้ตัดสินใจโดยใช้ข้อมูล telemetry อย่างที่เป็นอยู่ตอนนี้ RC4 จะไม่ถูกปิดใช้งานใน Firefox 39 หรือ 40

ปลาย : คุณสามารถตรวจสอบว่าเว็บเบราว์เซอร์ของคุณมีช่องโหว่หรือไม่ เยี่ยมชม RC4 เว็บไซต์. หากคุณเห็นการแจ้งเตือนสีแดงบนหน้าหลังจากดำเนินการข้อความแสดงว่ามีความเสี่ยงที่จะถูกโจมตี

จำเป็นต้องสังเกตว่าเบราว์เซอร์อื่น ๆ เช่น Google Chrome ก็มีช่องโหว่เช่นกัน ดูเหมือนว่า Google กำลังดำเนินการอยู่ ลด RC4 สนับสนุนอย่างสมบูรณ์ใน Chrome

ปิดใช้งาน RC4 ใน Firefox

ผู้ใช้ Firefox สามารถปิด RC4 ในเว็บเบราว์เซอร์ได้อย่างสมบูรณ์ จำเป็นต้องสังเกตว่าไซต์ที่ปลอดภัยบางแห่งอาจล้มเหลวในการทำงานหลังจากดำเนินการดังกล่าว

1. พิมพ์ about: config ในแถบที่อยู่ของเบราว์เซอร์แล้วกด Enter
2. ยืนยันว่าคุณจะระมัดระวังหากได้รับข้อความแจ้ง
3. ค้นหา RC4 และ ดับเบิลคลิก ตามการตั้งค่าต่อไปนี้เพื่อตั้งค่าเป็น เท็จ .
4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
5. security.ssl3.ecdhe_rsa_rc4_128_sha
6. security.ssl3.rsa_rc4_128_md5
7. security.ssl3.rsa_rc4_128_sha

เมื่อคุณทำการเปลี่ยนแปลงแล้วให้โหลดหน้าทดสอบที่ลิงก์ด้านบนอีกครั้ง คุณควรได้รับข้อความการเชื่อมต่อล้มเหลวแทนคำเตือนเมื่อคุณทำเช่นนั้น

หากคุณพบปัญหาในการเชื่อมต่อกับไซต์ที่ปลอดภัยหลังจากทำการเปลี่ยนแปลงคุณอาจต้องกู้คืนการสนับสนุนสำหรับ RC4 ให้ทำซ้ำขั้นตอนข้างต้นและตรวจสอบให้แน่ใจว่าค่าของการตั้งค่าถูกตั้งค่าเป็นจริงในภายหลัง

ปิด RC4 ใน Chrome

กระบวนการนี้มีความซับซ้อนใน Chrome เนื่องจากคุณไม่สามารถเปลี่ยนการตั้งค่าบางอย่างในเว็บเบราว์เซอร์เพื่อปิดใช้งาน RC4 ได้

ตัวเลือกเดียวที่ใช้ได้คือเรียกใช้ Chrome ด้วยพารามิเตอร์บรรทัดคำสั่งที่บล็อก RC4 นี่คือวิธีการทำ (คำแนะนำสำหรับ Windows)

1. คลิกขวาที่ทางลัดของ Chrome ในแถบงานของระบบปฏิบัติการและคลิกขวาอีกครั้งบน Chrome จากนั้นเลือก คุณสมบัติ จากเมนูบริบทที่เปิดขึ้น
2. สิ่งนี้ควรเปิดคุณสมบัติของไฟล์ปฏิบัติการ
3. เพิ่ม --cipher ในตัว-บัญชีดำ = 0x0004,0x0005,0xc011,0xc007 เป็นพารามิเตอร์ต่อท้ายบรรทัดเป้าหมาย ตรวจสอบให้แน่ใจว่ามีช่องว่างด้านหน้าพารามิเตอร์
4. บรรทัดเป้าหมายจะมีลักษณะเช่นนี้ในคอมพิวเตอร์ของฉันหลังจากเพิ่มพารามิเตอร์: C: Users Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
5. หมายเหตุ: ของคุณจะแตกต่างกันไปตามชื่อผู้ใช้ของคุณและเวอร์ชันของ Chrome ที่คุณติดตั้ง

คำสั่งจะเพิ่ม RC4 ลงในบัญชีดำการเข้ารหัสเพื่อไม่ให้เบราว์เซอร์ใช้ หากคุณทำการทดสอบอีกครั้งคุณจะสังเกตได้ว่าการทดสอบจะล้มเหลว (ซึ่งเป็นผลดี)