Die gute Nach­richt: Es ist noch lange nicht alles ka­putt, zu­min­dest aus Be­nut­zer­sicht. Für Kryp­to­gra­phen gilt ein Sys­tem, bei dem man nach we­ni­gen 10.000 Hand­shakes auf den In­halt zu­rück­schlie­ßen kann, schon längst als ge­bro­chen. Die­ses Sze­na­rio bie­tet sich, wenn man den Al­go­rith­mus RC4 im Pro­to­koll von https ver­wen­det, so je­den­falls schil­dert es diese Zu­sam­men­fas­sung eines Pa­pers.

Die Ver­schlüs­se­lung hin­ter https, das TLS-Pro­to­koll, er­laubt es, zwi­schen Brow­ser und Ser­ver die ver­wen­de­ten Ver­schlüs­se­lungs­ver­fah­ren aus­zu­han­deln. Das macht des­halb Sinn, weil mög­li­cher­wei­se nicht alle Im­ple­men­tie­run­gen alle Ver­fah­ren bie­ten bzw. es so mög­lich ist, neue Ver­fah­ren hin­zu­zu­fü­gen bzw. alte zu ent­fer­nen. RC4 ist eines der Ver­fah­ren, die stan­dard­mä­ßig zur Aus­wahl ste­hen. Un­glück­li­cher­wei­se be­vor­zu­gen viele große Web­sei­ten (wie z.B. Goog­le) die­sen Al­go­rith­mus - er ist sehr per­for­mant zu im­ple­men­tie­ren, was eine ge­rin­ge­re Last auf den Ser­vern be­deu­tet.

Zu­ge­ge­be­ner­ma­ßen ist der An­griff für den All­tag nicht von so gro­ßer Be­deu­tung, daß man so­fort die Rei­ß­lei­ne ziehn muß. Wer aber den­noch auf Num­mer Si­cher gehen möch­te, kann RC4 aus den mög­li­chen Kan­di­da­ten beim Aus­han­deln der Ver­bin­dung ent­fer­nen. Bei Fi­re­fox geht das fol­gen­der­ma­ßen:

• Als URL “about:con­fig” ein­ge­ben
• Im Such­feld nach “_rc4” su­chen
• Alle Zei­len, deren Value “true” ist, dop­pel­kli­cken

Goog­le Chro­me scheint hier lei­der keine Ein­stell­mög­lich­kei­ten zu be­sit­zen.