Foi apresentada na Black Hat USA 2013 a prova de conceito para a vulnerabilidade no método de compressão HTTPS que possibilita a extração de informações sensíveis em tráfego web encriptado SSL/TLS como identificadores de sessão, tokens de login, dentre outras. Veja a apresentação através do link.
A ferramenta apresentada na conferência denominada BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) é uma evolução do ataque CRIME (Compression Ratio Info-leak Made Easy) que é baseado no tamanho das respostas.
Como mitigação considerem desabilitar a compressão HTTP; embararalhar os segredos em cada requisição do cliente; proteger páginas web contra os ataques CSRF; ofuscar o tamanho das respostas web; dentre outras.
Vejam mais informações sobre a vulnerabilidade no site: www.kb.cert.org/vuls/id/987798