Как заблокировать небезопасный шифр RC4 в Firefox и Chrome

• Категория: Безопасность

Попробуйте наш инструмент устранения неполадок

Выберите операционную систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Выберите язык програмирования (опционально) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите свою проблему

Получить ответ

Отправить мне на email Показать на сайте

Каждый раз, когда вы подключаетесь к защищенному веб-сайту с помощью Firefox или любого другого современного браузера, в фоновом режиме происходят переговоры, которые определяют, что используется для шифрования соединения.

RC4 - это потоковый шифр, который в настоящее время поддерживается большинством браузеров, хотя его можно использовать только в качестве запасного варианта (если другие согласования не удались) или для сайтов из белого списка.

бреши иметь В последнее время выяснилось, что они используют недостатки RC4, которые позволяют злоумышленникам проводить атаки в разумные сроки, например, для расшифровки веб-файлов cookie, которые часто содержат информацию для аутентификации.

Mozilla хотела сначала полностью удалить RC4 из Firefox в версии браузера 38 или 39, но на основании данных телеметрии отказался от этого. В настоящее время RC4 не будет отключен в Firefox 39 или 40.

Наконечник : вы можете проверить, уязвим ли ваш веб-браузер, посещение этого RC4 интернет сайт. Если вы видите красные уведомления на странице после того, как текст был проведен, это означает, что она уязвима для атак.

Следует отметить, что другие браузеры, например Google Chrome, также уязвимы. Google, по-видимому, также работает над сброс RC4 поддержка полностью в Chrome

Отключение RC4 в Firefox

Пользователи Firefox могут полностью отключить RC4 в веб-браузере. Следует отметить, что некоторые защищенные сайты могут перестать работать после этого.

1. Введите about: config в адресной строке браузера и нажмите Enter.
2. Подтвердите, что вы будете осторожны, если получите приглашение.
3. Найдите RC4 и Двойной клик на следующие настройки, чтобы установить их на ложный ,
4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
5. security.ssl3.ecdhe_rsa_rc4_128_sha
6. security.ssl3.rsa_rc4_128_md5
7. security.ssl3.rsa_rc4_128_sha

После внесения изменений перезагрузите тестовую страницу, указанную выше. При этом вы должны получать сообщения об ошибках подключения вместо предупреждений.

Если после внесения изменений у вас возникнут проблемы с подключением к защищенным сайтам, вам может потребоваться восстановить поддержку RC4. Для этого повторите описанные выше шаги и затем убедитесь, что для значений параметров установлено значение true.

Отключение RC4 в Chrome

В Chrome этот процесс сложен, так как вы не можете просто переключить пару настроек в веб-браузере, чтобы отключить в нем RC4.

Единственный допустимый вариант - запустить Chrome с параметрами командной строки, которые блокируют RC4. Вот как это делается (инструкция для Windows).

1. Щелкните правой кнопкой мыши ярлык Chrome на панели задач операционной системы, затем снова щелкните правой кнопкой мыши Chrome и выберите свойства в открывшемся контекстном меню.
2. Это должно открыть свойства исполняемого файла.
3. Добавить --cipher-люкс-черный список = 0x0004,0x0005,0xc011,0xc007 в качестве параметра в конце целевой строки. Убедитесь, что перед параметром есть пробел.
4. Целевая строка выглядит так на моем компьютере после добавления параметра: C: Users Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
5. Примечание: ваш будет зависеть от вашего имени пользователя и установленной вами версии Chrome.

Команда добавляет RC4 в черный список шифров, чтобы он не использовался браузером. Если вы повторно запустите тест, вы заметите, что он не удастся (что хорошо).