Parece que Chrome, Firefox y pronto Edge admiten el nuevo algoritmo de compresión Brotli solo a través de HTTPS.
No puedo encontrar nada sobre si este nuevo algoritmo de compresión es susceptible al ataque BREACH. Lo único relevante que encontré fue al final de sección 12 de RFC 7932 :
Un posible ataque contra un sistema que envía datos comprimidos a través de un Canal encriptado es el siguiente. Un atacante que puede repetidamente. mezclar datos arbitrarios (suministrados por el atacante) con datos secretos (contraseñas, cookies) y observar la longitud del texto cifrado puede potencialmente Reconstruir los datos secretos. Para protegerse contra este tipo de ataque, las aplicaciones no deben mezclar datos sensibles con datos no sensibles, datos potencialmente suministrados por el atacante en el mismo flujo comprimido.
A partir de ese párrafo, parece que Brotli todavía es susceptible de INCUMPLIMIENTO. Si mi comprensión de BREACH (y el ataque de CRIME relacionado) es correcta, la compresión no es segura a través de HTTPS.
En este caso, ¿es seguro utilizar Brotli para el contenido HTTPS? Si no es así, ¿por qué los proveedores de navegadores lo admiten?