A pesar de que HTTPS mantiene las rutas HTTP privadas, ¿no es cierto que los tamaños de carga útil generalmente únicos para URL particulares (en artículos de noticias, blogs, etc.) proporcionan un mecanismo para revelar la URL a un observador? Si es así, ¿cómo remediaría esto un sitio?
Sí, si el sitio es público y el atacante conoce su contenido, el atacante con acceso al tráfico cifrado puede averiguar qué página del blog visitó el usuario solo midiendo el tamaño. El sitio web podría remediar esto al rellenar todas las longitudes de todas las páginas al máximo, e incluir siempre el mismo número de imágenes, cada una con tamaños acolchados. El navegador también debe cargar las imágenes al mismo tiempo para todas las páginas.
Lea otras preguntas en las etiquetas tls