一个潜藏 13年的 SSL/TLS 漏洞

对称加密算法 RC4 是有线等效加密（WEP）中采用的加密算法，也曾经是 TLS 可采用的算法之一。

相关报导
3 月 28 日， The Hacker News 的一篇文章曝出 SSL/TLS 中使用 RC4 算法的漏洞，有可能导致敏感信息明文传输及中间人攻击。
13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text
13-year-old SSL/TLS RC4 Invariance Weakness Exposing Sensitive Data in Plain Text using Bar-Mitzvah attack.
thehackernews.com
RC4 算法的安全性曾被质疑多年
请点击下面的链接，下载相关 PDF 文件。
imperva.com
如何避免
作为用户，我们不可能去要求网站更改算法，只要知道如何规避风险即可。
Firefox
在新标签中输入网址 about:config 点击“我保证会小心”。

搜索 RC4

在每一项上双击，全部禁用。
Chrome
Chrome 没有提供 config 页面，请在 Chrome 启动的快捷方式后面加上一段参数

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

相关参数对照请参看下面链接。
Issue 58833 - chromium - Allow SSL/TLS ciphersuites to be re-prioritized by users - An open-source project to help move the web forward. - Google Project Hosting
code.google.com
One more thing……
如何检验一个 HTTPS 网站是否用了 RC4 加密算法？ Linux 下使用下面的命令：

$ echo Q | openssl s_client -connect qdan.me:443 | grep "Cipher"

从结果中可以看到轻单使用了 AES 加密算法：

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA
Cipher : ECDHE-RSA-AES128-SHA

轻单 beta2