BREACH , um novo ataque ao SSL que visa a compactação HTTP, foi recentemente anunciado publicamente. O conselho emergente de como se defender contra o BREACH parece ser: desative a compactação HTTP.
Então, como desativo a compactação HTTP? Quais alterações eu preciso fazer na minha configuração do Apache? Preciso fazer alguma alteração nos navegadores também?
(Enquanto eu estiver aqui, há algum outro recurso sugerindo quais alterações devem ser feitas em outros servidores da web, como o Microsoft IIS?)
A compactação do Apache é gerenciada por mod_deflate . Apenas não carregue ou ative o módulo e o Apache não aplicará a compactação HTTP. Outra compactação (como feita no PHP) pode ser um pouco mais complicada, mas BREACH lida especificamente com a compactação mod_deflate .
Há também mod_gzip , que é muito menos popular.