July 15, 2015

RC4 真的不行了

如果你的 HTTPS 伺服器还用 RC4 密码套件(Ciphersuite),要赶快换了。因为又爆出一个问题,黑客可以 75 小时攻破加密的 cookie。

曲奇(cookie)广泛用来认证用户会话,盗用的就可以让第三方不用密码登陆他人的账号。

如何配置高级又安全的 HTTPS 伺服器,请看 Mozilla 提供的 Server Side TLS。Intermediate 等级的配置支持广泛游览器。Modern 除非不想支持 IE 用户。

Source:RC4 NOMORE