Gzip sobre SSL

Hola amigos,

He estado instalando un servidor nuevo y me he percatado de que en el archivo por defecto de /etc/nginx/site-availables/default
en la parte de SSL hay una nota que dice que se deberia desactivar gzip cuando se usa SSL

# Note: You should disable gzip for SSL traffic.
# See: #773332 - Default nginx.conf leaves sites vulnerable to BREACH - Debian Bug report logs

Estuve investigando un poco y me entere de que tener SSL con gzip te hace vulnerable a ataques BREACH, este informe fue presentado en 2013 aproximadamente en una conferencia Black Hat.

Luego de buscar mas informacion encontre un blog donde alguien decia que esa vulnerabilidad se daba bajo ciertas condiciones, otros decian que no valia la pena desactivar gzip por miedo a un ataque de ese tipo si no se manejaba informacion delicada.

Aunque mucha de esa informacion es relativamente vieja, me gustaria conocer sus opiniones, recomendaciones o bien aclaraciones sobre el tema.

Saludos!

No es necesario desactivar Gzip con SSL, solo configurarlo correctamente.

En la misma URL sale que se soluciono el problema.....

Esa incidencia tiene tiempo de solucionada [MENTION=81395]Derjay[/MENTION] 7:

Esta solucionado ese problema, es recomendable que leas todo al detalle.

El problema no fue solucionado, ni lo ha sido hasta ahora. Lo único que hicieorn fue:
+ Add comment about disabling gzip in HTTPS. (Closes: #773332)

Sin embargo, el problema no solo pasa si usas HTTPS, también HTTP.
Por eso la recomendación de desactivarlo completamente.

Aún así, no es algo que nos pueda pasar, pero por si las dudas, si tienes miedo de que
te paso, solo trata de usar gzip en archivos estáticos, solo si en tu sitio usas información sensible.

Si tus usuarios no están manejando informaciónn sencible, o tu mismo, yo diría que no hay porque preocuparse.
Aun si usaras, es poco probable que alguien venga a intentar utilizar BREACH, ya que tampoco es una tarea simple el poder explotar dicha vulnerabilidad.