Hoe het onveilige RC4-cijfer in Firefox en Chrome te blokkeren

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Telkens wanneer u met Firefox of een andere moderne browser verbinding maakt met een beveiligde website, vinden er op de achtergrond onderhandelingen plaats die bepalen wat er wordt gebruikt om de verbinding te versleutelen.

RC4 is een stroomcijfer dat momenteel door de meeste browsers wordt ondersteund, hoewel het alleen kan worden gebruikt als reserve (als andere onderhandelingen mislukken) of voor sites op de witte lijst.

Exploits hebben zijn recentelijk aan het licht gekomen die profiteren van zwakke punten in RC4 waardoor aanvallers binnen een redelijk tijdsbestek aanvallen kunnen uitvoeren, bijvoorbeeld om webcookies te decoderen die vaak authenticatie-informatie bevatten.

Mozilla wilde om RC4 in eerste instantie volledig uit Firefox te verwijderen in versie 38 of 39 van de browser, maar besloot dit niet op basis van telemetriegegevens. Zoals het er nu uitziet, wordt RC4 niet uitgeschakeld in Firefox 39 of 40.

Tip : u kunt controleren of uw webbrowser kwetsbaar is door een bezoek aan deze RC4 website. Als u rode meldingen op de pagina ziet nadat de tekst is uitgevoerd, betekent dit dat deze kwetsbaar is voor aanvallen.

Opgemerkt moet worden dat andere browsers, bijvoorbeeld Google Chrome, ook kwetsbaar zijn. Google werkt blijkbaar ook aan RC4 laten vallen ondersteuning volledig in Chrome

RC4 uitschakelen in Firefox

Firefox-gebruikers kunnen RC4 volledig uitschakelen in de webbrowser. Opgemerkt moet worden dat sommige beveiligde sites mogelijk niet werken nadat ze dit hebben gedaan.

firefox disable rc4

  1. Typ about: config in de adresbalk van de browser en druk op enter.
  2. Bevestig dat u voorzichtig zult zijn als u een prompt ontvangt.
  3. Zoek naar RC4 en Dubbelklik op de volgende voorkeuren om ze in te stellen false .
  4. security.ssl3.ecdhe_ecdsa_rc4_128_sha
  5. security.ssl3.ecdhe_rsa_rc4_128_sha
  6. security.ssl3.rsa_rc4_128_md5
  7. security.ssl3.rsa_rc4_128_sha

Nadat u de wijzigingen heeft aangebracht, laadt u de testpagina die hierboven is gelinkt opnieuw. U zou verbindingsfoutmeldingen moeten krijgen in plaats van waarschuwingen wanneer u dat doet.

Als u problemen ondervindt bij het verbinden met beveiligde sites nadat u de wijzigingen hebt aangebracht, moet u mogelijk de ondersteuning voor RC4 herstellen. Herhaal hiervoor de bovenstaande stappen en zorg ervoor dat de waarden van de voorkeuren achteraf op true worden ingesteld.

RC4 uitschakelen in Chrome

chrome disable rc4

Het proces is gecompliceerd in Chrome, omdat u niet eenvoudigweg een aantal voorkeuren in de webbrowser kunt wijzigen om RC4 erin uit te schakelen.

De enige geldige optie is om Chrome uit te voeren met opdrachtregelparameters die RC4 blokkeren. Hier is hoe dit wordt gedaan (instructies voor Windows).

  1. Klik met de rechtermuisknop op de Chrome-snelkoppeling in de taakbalk van het besturingssysteem, klik nogmaals met de rechtermuisknop op Chrome en selecteer eigendommen vanuit het contextmenu dat wordt geopend.
  2. Dit zou de eigenschappen van het uitvoerbare bestand moeten openen.
  3. Toevoegen --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007 als parameter aan het einde van de doelregel. Zorg ervoor dat er een spatie voor de parameter staat.
  4. De doellijn ziet er als volgt uit op mijn computer na het toevoegen van de parameter: C: Users Martin AppData Local Chromium Application chrome.exe --cipher-suite-blacklist = 0x0004,0x0005,0xc011,0xc007
  5. Opmerking: die van jou is afhankelijk van je gebruikersnaam en de versie van Chrome die je hebt geïnstalleerd.

De opdracht voegt RC4 toe aan de zwarte lijst met cijfers, zodat deze niet door de browser wordt gebruikt. Als u de test opnieuw uitvoert, zult u merken dat deze zal mislukken (wat goed is).