独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月5日、圧縮されたHTTPSレスポンスの長さを観測することで、攻撃者がHTTPSストリームの暗号文からWebサイトの認証鍵など(secret)を推測することが可能である脆弱性(CVE-2013-3587)が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。この脆弱性は、HTTP圧縮を有効にしてHTTPSの通信を行うWebサイトなどが影響を受ける。JVNでは、「HTTP圧縮を使用しない」「ユーザの入力と secret を分離する」「リクエストごとに異なる secret を使用する」「secret をマスクする」「より積極的な CSRF 対策を行う」「レスポンスごとに任意のバイト数のデータを追加し、レスポンスのサイズの推測を困難にする」といった回避策を適用することで、本脆弱性の影響を軽減することができるとしている。
