Preguntas con etiqueta 'gzip'

3
respuestas

¿Está permitido el contenido en gzip a través de TLS?

Tengo estas pocas directivas de compresión a nivel http en nginx: gzip on; gzip_http_version 1.1; gzip_vary on; Leí que esto debería evitarse debido al ataque de CRIME / BREACH, ¿es correcto?     
hecha 06.10.2015 - 13:03
1
respuesta

Algoritmo de compresión de Brotli y ataque BREACH

Pasé mucho tiempo en las implementaciones de ataques BREACH. En teoría, la compresión de Brotli, al igual que otras compresiones que usan algoritmos de la familia lzz7, debe ser vulnerable al ataque BREACH. Las experiencias y las pruebas que...
hecha 26.10.2017 - 07:33
1
respuesta

Para evitar BREACH, ¿podemos usar gzip en respuestas que no sean de token?

Trabajo en un sitio que tiene una interfaz web y una API. Estoy tratando de determinar si podemos usar gzip de forma segura, o si eso nos abrirá a BREACH . El sitio dice:    Si tiene un cuerpo de respuesta HTTP que cumple todos las sigu...
hecha 31.10.2017 - 21:00
1
respuesta

¿Existen razones válidas para que los archivos comprimidos (zip, gzip, etc.) simulen el tamaño del archivo?

Archivos Zip , GZip , y probablemente otros, incluyen información sobre el archivo contenido, incluido el tamaño sin comprimir del archivo. Sin embargo, al extraer estos archivos, el número carece de significado ya que los datos reales pueden...
hecha 03.02.2017 - 19:15
3
respuestas

¿es g-zipping activo una preocupación de seguridad?

Hace poco noté que los activos enviados a los clientes no están comprimidos ni comprimidos en la intranet de mi compañía ni en su sitio web público. Llamé esto a la atención del departamento de redes (que mantienen el servidor) y les pregunté...
hecha 23.12.2015 - 00:03
3
respuestas

¿Está permitido el contenido en gzip a través de TLS?

Tengo estas pocas directivas de compresión a nivel http en nginx: gzip on; gzip_http_version 1.1; gzip_vary on; Leí que esto debería evitarse debido al ataque de CRIME / BREACH, ¿es correcto?     
hecha 06.10.2015 - 13:03