如何在Firefox和Chrome中阻止不安全的RC4密码

尝试消除问题的工具

每当您使用Firefox或任何其他现代浏览器连接到安全网站时,都会在后台进行协商,以确定用于加密连接的内容。

RC4是一种流密码,目前大多数浏览器都支持RC4,即使它只能用作后备(如果其他协商失败)或用于白名单站点。

漏洞利用 利用RC4的弱点使攻击者能够在合理的时间范围内进行攻击,例如解密通常包含身份验证信息的Web Cookie,这在最近一段时间内就暴露出来了。

Mozilla想要 最初在浏览器的38或39版本中从Firefox完全删除RC4,但基于遥测数据决定不使用它。就目前情况而言,在Firefox 39或40中不会禁用RC4。

小费 :您可以通过以下方式检查您的网络浏览器是否容易受到攻击: 参观这个RC4 网站。如果在执行文本后在页面上看到红色通知,则表明它很容易受到攻击。

需要注意的是,其他浏览器(例如Google Chrome)也容易受到攻击。 Google显然也在努力 降RC4 在Chrome中完全支持

在Firefox中禁用RC4

Firefox用户可以在网络浏览器中完全关闭RC4。需要注意的是,某些安全站点可能无法正常运行。

firefox disable rc4

  1. 在浏览器的地址栏中输入about:config,然后按Enter。
  2. 确认如果收到提示,请小心。
  3. 搜索RC4和 连按两下 根据以下偏好设置将它们设置为
  4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
  5. security.ssl3.ecdhe_rsa_rc4_128_sha
  6. security.ssl3.rsa_rc4_128_md5
  7. security.ssl3.rsa_rc4_128_sha

进行更改后,请重新加载上面链接的测试页。这样做时,您应该得到连接失败消息而不是警告。

如果进行更改后在连接到安全站点时遇到问题,则可能需要恢复对RC4的支持。为此,请重复上述步骤,并确保之后将首选项的值设置为true。

在Chrome中禁用RC4

chrome disable rc4

在Chrome中,此过程很复杂,因为您不能简单地在网络浏览器中切换几个首选项来禁用RC4。

唯一有效的选项是使用阻止RC4的命令行参数运行Chrome。这是完成操作的方式(Windows指令)。

  1. 右键点击操作系统任务栏中的Chrome快捷方式,然后再次右键点击Chrome,然后选择 属性 从打开的上下文菜单中。
  2. 这应该打开可执行文件的属性。
  3. --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007 作为目标行末尾的参数。确保参数前面有一个空格。
  4. 添加参数后,目标行在我的计算机上如下所示:C: Users Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
  5. 注意:根据您的用户名和已安装的Chrome版本,您的信息会有所不同。

该命令将RC4添加到密码黑名单中,以便浏览器不会使用它。如果您重新运行测试,您会注意到它将失败(这很好)。