Desabilitar o RC4 do Chrome
Saiu na CISSP.
http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html
http://cr.yp.to/talks/2013.03.12/slides.pdf
http://www.ietf.org/rfc/rfc2246.txt
|
10 de jul (2 dias atrás)
 |
|
||
|
||||
Depois das noticias da NSA e da sensação que de as conversas podem ser
monitoradas não só por tap nas fibras, mas quem sabe por falhas nos
protocolos de segurança implementados nos navegadores resolvi pesquisar um
pouco.
Com as divulgações de que o RC4 pode ser quebrado com TLS eu fiquei de cuca
quente e resolvi olhar qual criptografia estava usando nas paginas HTTPS e
eis que meu default de negociação com os sites que mais uso como GMAIL e
FACEBOOK eram RC4 com SHA!
Ai o próximo passo era ver como desabilitar o RC4 para negociar um
protocolo mais seguro.
Usando o Chrome e buscando no google não achei nada!
Eis que analisando o código fonte do google vi que os desenvolvedores
deixaram o seguinte parâmetro para remover cifras do
navegador: –cipher-suite-blacklist
O duro foi descobrir como este parâmetro funciona porque na internet e no
google não diz.
Depois de alguma horas olhando o codigo fonte do chrome descobri.
Para quem quiser desabilitar o RC4 do Chrome o parâmetro no atalho é:
–cipher-suite-blacklist=0x0005,0x0004
Sendo que:
0x0004 = TLS_RSA_WITH_RC4_128_MD5
0x0005 = TLS_RSA_WITH_RC4_128_SHA
Os codigos das cifras podem ser encontradas em:
http://www.ietf.org/rfc/rfc2246.txt
Infos do possivel ataque:
http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html
VSLA - Virtual Security Labs Anywhere 