Tengo una aplicación de una sola página (SPA) que consta de recursos estáticos (HTML, JS, CSS, fuentes de imágenes ...) que se sirven desde un servidor web Apache y varios puntos finales de API (que sirven a JSON desde un JBoss Backend, proxy a través del mismo Apache que sirve a los recursos estáticos).
Los navegadores de clientes tienen acceso al SPA solo a través de HTTPS.
Los datos confidenciales se sirven exclusivamente desde los puntos finales de la API.
Me gustaría habilitar la compresión gzip para todos los recursos estáticos. La compresión gzip no se habilitará en los puntos finales de la API.
¿Es un riesgo para la seguridad habilitar la compresión gzip en los recursos estáticos debido a la BREACH security exploit ?
No entiendo completamente el ataque BREACH:
- Mis recursos estáticos (que se comprimirían) no reflejan ningún dato de usuario
- Las llamadas a la API reflejan los datos del usuario y pueden contener parámetros de consulta, pero no están comprimidos.
¿Es el escenario anterior vulnerable al ataque BREACH o no?