Anche se HTTPS mantiene privati i percorsi HTTP, non è il caso che le dimensioni del payload generalmente uniche per particolari URL (su articoli di notizie, blog, ecc.) forniscano un meccanismo per rivelare l'URL in qualche modo a un osservatore? In tal caso, come potrebbe rimediare un sito?
Sì, se il sito è pubblico e il suo contenuto è noto all'attaccante, l'utente malintenzionato con accesso al traffico crittografato può scoprire quale pagina del blog l'utente ha visitato semplicemente misurando la dimensione. Il sito Web potrebbe rimediare al massimo inserendo tutte le lunghezze di tutte le pagine e includendo sempre lo stesso numero di immagini, ognuna con dimensioni riempite. Le immagini devono anche essere caricate dal browser contemporaneamente per tutte le pagine.
Leggi altre domande sui tag tls