Questo è qualcosa che non sono stato in grado di comprendere, se BREACH consente la perdita di informazioni, dobbiamo mascherare o generare token CSRF in modo basato sul tempo o per richiesta per renderlo più sicuro?
Per quanto ne so, il token CSRF basato sulla sessione può proteggi l'utente da CSRF proprio bene . Ma quanto è accurato questo in contesto rispetto a SSL? Il problema qui non è più se l'attaccante può eseguire CSRF, ma se tale token CSRF può essere estratto da HTTPS con compressione attiva, può anche essere usato per filtrare altre informazioni?
Fondamentalmente sto chiedendo se questo la vecchia domanda ora ha una risposta diversa.