O SSL/TLS é o fundamento de conexões de Internet segura, com o algoritmo RC4, projetado por Ron Rivest em 1987, muitas vezes usado para criptografia de dados. Pesquisadores descobriram um ataque contra o algoritmo que pode decifrar, pelo menos, o início de uma transmissão segura. O ataque ainda é mais teórico, porém demonstra claramente que há algumas questões que precisam ser resolvidas.
Um grande número de servidores usa RC4, incluindo o Google, Facebook e servidores web da Microsoft. O método possui uma série de vantagens - é muito rápido, o que significa que é mais fácil de ser manipulado pelos servidores, e não é vulnerável a alguns dos recentes ataques SSL/TLS como BEAST e Lucky13 e, por essa razão, muitas vezes tem sido recomendado como uma alternativa. Ao mesmo tempo, no entanto, a RC4 é antiga e contempla seus próprios problemas.
O algoritmo RC4 é o que conhecemos por ser uma cifra de fluxo com, basicamente, um pseudo gerador de números praticamente aleatórios que são então usados para vincular textos que precisam ser criptografados ou descriptografados com XOR. A senha determina o valor de inicialização do gerador, com o mesmo valor fazendo com que o gerador produza o mesmo fluxo de números de cada vez. Se os números fossem verdadeiramente aleatórios, este método iria, de fato, criar uma criptografia uncrackable, conhecida como one-time pad. Mas, como diz o nome, os números são meramente quase aleatórios, e Nadhem Alfardan, Dan Bernstein, Kenny Paterson, Bertram Poettering e Jacob Schuldt encontraram uma maneira de usar os desvios mínimos de uma distribuição puramente estatística para quebrar a criptografia e descriptografar pelo menos 220 bytes de uma conexão.
Eles precisam - por enquanto, pelo menos - de um número quase ridículo de conexões que criptografam o mesmo texto: 2³⁰, ou cerca de um bilhão. Mas esse número não está tão fora como parece, já que o grande número de conexões podem ser feitas automaticamente com, digamos, o código JavaScript que foi injetado em uma página web normal e chama a mesma HTTPS URL repetidas vezes. Entre outros dados, todas essas conexões obtêm o cookie válido de sessão a de cada vez, que o usuário - ou o invasor - pode usar para, por exemplo, entrar no Google Mail sem digitar uma senha. Matthew Green explica o problema com mais detalhes em um post de seu blog entitulado "Attack of the week: RC4 is kind of broken in TLS" (" Ataque da semana: o RC4 está quebrado no TLS" ).
O ataque ainda não pode ser realmente implementado na prática, mas, como todos sabem, os ataques estão se aperfeiçoando o tempo todo. Esses achados devem ser considerados um aviso, e aqueles usando criptografia RC4 devem começar a procurar uma alternativa. Uma das recomendações dos pesquisadores são os métodos de cifra de bloco CBC que foram atualizados para bloquear BEAST e Lucky 13; outra opção é TLS 1.2, que ainda não é amplamente utilizado, mas oferece melhores métodos de criptografia.
, o facto é que a forma como funcionam é-me desconhecida e associo apenas ás configurações necessárias no meu caso com o Evolution, ou seja, não tem sido daquelas matérias com as quais me tenho preocupado! É mau? Claro que sim... 
Em todo o caso, uma boa política é não usar redes wireless públicas, mas acho que é preciso ter um tremendo azar para que algo de errado aconteça. Seria preciso ter ao lado alguém super nerd com objetivo de roubar conteúdos protegidos (desprotegidos não é algo raro).