几乎世界上三分之一的加密Web持续的正在被破解，用一种正在不断更新的 exp。计算机工程师在周三发出警告，RC4也能被破解用于入侵被wifi的wpa协议保护的无线网络。

研究人员早就知道RC4的统计偏差有可能导致攻击着预测一些伪随机字节的密码来编码消息。在2013年，有个科学家小组设计了一个可以攻击的exp，但是用时2000小时去猜测包含一个典型的身份验证cookie漏洞。随后科学家利用改进代码效率，现在研究团队能够进行同样的任务只要75个小时，有高达94%的准确率。针对WPA-TKIP类似的网络攻击大约需要一个小时才能成功。研究人员说，唯一可靠的的对策是停止使用RC4。

“我们的工作显著降低攻击的执行时间，我们为这种改善非常担忧，”研究人员在一篇文章中写到。“考虑到仍有偏见，因此我们并没有使用，。更高效的算法，可以实现更好的流量生成技术，我们预计在未来的进一步改进算法。”

攻击可以通过攻击者和监视目标与一个https保护的网站或者WPA-TKIP保护的网络之间的连接来实施。在https保护的网站情况下，攻击者使用一个单独的非https保护网站的注入诱导目标计算机，重复在时间内连续对加密认证的网站发送cookie javascript代码。通过观察大致9*227的加密cookie后，攻击者可以猜测94%的准确内容。和每秒向目标发射4450的web请求相比，攻击者需要花75个小时，但在某些情况下，所需的时间可以被调至到52小时。两年前，研究人员请求12*230的加密cookie来推断其内容，并可以产生每秒只有约1700的请求。

针对WPA-TKIP的攻击需要一个小时来执行，并允许攻击者注入和任意数据包进行解密。

该技术可以不仅可以用来解开cookie和无线网络连接的数据包，而且可以把加密流中的密文翻译成明文。该技术的工作原理是注入那些已经公知的加密payload，类似于存在于每一个验证cookie或者wifi数据包内部中的标准报头的数据值来攻击。 然后通过字符的未知值的每一个可能的组合循环，并使用统计偏差来找出哪些组合是最有可能的。

就目前而言，对https保护的网站攻在很大程度上仍然是理论给出的75小时。这个研究应该被作为一个严厉的警告RC4不是一个安全的长期的解决方案，并且工程师们应该需要立即行动起来，并告知他们的用户关闭使用这种方案。HTTPS会话估计，30%依靠RC4，低于2013年的一半左右。

“我们认为这是令人惊讶的，这是可能已知的偏见，并希望这种攻击的防御，在未来的进一步完善。”研究人员定于下月24日Usenix安全专题讨论会上将提交一份研究报告，报告中写道：“基于这些结果，我们强烈建议人们停止使用RC4。”