Ho una singola pagina di applicazione (SPA) che consiste di risorse statiche (HTML, JS, CSS, font di immagini ...) che vengono servite da un server Web Apache e diversi endpoint API (che servono JSON da un backend JBoss, Proxyed attraverso lo stesso Apache che serve le risorse statiche).
I browser client hanno accesso alla SPA solo tramite HTTPS.
I dati sensibili vengono forniti esclusivamente dagli endpoint API.
Vorrei abilitare la compressione gzip per tutte le risorse statiche. la compressione gzip non sarà abilitata sugli endpoint API.
L'attivazione della compressione gzip sulle risorse statiche rappresenta un rischio per la sicurezza a causa del exploit di sicurezza BREACH ?
Non comprendo appieno l'attacco di BREACH:
- Le mie risorse statiche (che verrebbero compresse) non riflettono i dati utente
- Le chiamate API riflettono i dati dell'utente e possono contenere parametri di query, ma non sono compressi.
Lo scenario sopra esposto è vulnerabile all'attacco BREACH o no?