Wiki su CRIME:
CRIME <...> is a security exploit against secret web cookies
RFC 2616 sulla codifica del contenuto:
The Content-Encoding entity-header <...> when present, its value indicates what <...> codings have been applied to the entity-body, and thus what decoding mechanisms must be applied <...>
La domanda che ho qui:
Se la compressione non comprime i cookie (come da RFC comprime solo il corpo ei cookie fanno parte delle intestazioni), come è possibile l'attacco CRIME? Ci deve essere un malinteso da parte mia.
NOTA: non sto chiedendo su come prevenire l'attacco, ma su specifiche su come funziona.