<div dir="auto">FYI if I remember right BREACH is a risk in Brotli as well.<div dir="auto"><br></div><div dir="auto">Also Brotli has a few code level concerns that the Ubuntu Security Team saw in a cursory review that could lead to crashes which made it judged 'not suitable for inclusion'.</div><div dir="auto"><br></div><div dir="auto">Just wanted to share this info.</div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Jan 14, 2019, 17:46 Abigaile Johannesburg <<a href="mailto:abij@tuta.io">abij@tuta.io</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div>
<div>Package: nginx-extras<br></div><div>Version: 1.14.2-2<br></div><div>Severity: wishlist<br></div><div><br></div><div><br></div><div>Hello nginx maintainers,<br></div><div><br></div><div>At the moment, nginx-extra package includes gzip module as one of the optional http modules. However it seems Gzip compression is vulnerable to BREACH [1] attack and the vulnerability researchers' recommendation is to disable Gzip compression. There are also discussions on stackexchange [2].<br></div><div><br></div><div>Instead of disabling compression over TLS/SSL completely, Google seems to be using a different compression scheme Brotli [3]. Would you consider replacing nginx Gzip module with Brotli?<br></div><div><br></div><div>Thanks,<br></div><div>Abi,<br></div><div><br></div><div>---<br></div><div>[1] <a href="http://breachattack.com/#mitigations" target="_blank" rel="noreferrer">http://breachattack.com/#mitigations</a><br></div><div>[2] <a href="https://security.stackexchange.com/questions/65625/current-state-of-breach-gzip-ssl-attack" target="_blank" rel="noreferrer">https://security.stackexchange.com/questions/65625/current-state-of-breach-gzip-ssl-attack</a><br></div><div>[3] <a href="https://github.com/google/ngx_brotli" target="_blank" rel="noreferrer">https://github.com/google/ngx_brotli</a><br></div>  </div>

</blockquote></div>