Correto; O RC4 é uma codificação de fluxo e não é afetado.
A falha está na construção da mensagem CBC, então as cifras usando CBC (há um monte, mas AES e 3DES são as mais populares) são todas afetadas.
Agora que o BEAST é de conhecimento público, o TLS 1.0 NÃO é seguro para usar (nem o SSL 3.0). Eu vi relatos de que a cifra RC4 não é afetada (e é amplamente suportada). Isso é verdade?
Eu sei que o TLS 1.1 é imune. Mas dos 1.000.000 sites mais populares habilitados para SSL / TLS, apenas alguns (221) suportam TLS 1.1 ou superior.
A exploração é restrita a navegadores porque requer JavaScript ou Plugins de Navegador via MITM. O PayPal.com está vulnerável até o momento desta publicação.