Názor k článku Vlády přesměrovávají uživatele na software doplněný o malware od Vít Šesták - > Je tim mysleno, ze kdyz necham PHP...

> Je tim mysleno, ze kdyz necham PHP do stranky vygenerovat nejaky neviditelny retezec (napr. komentar?) s nahodnou delkou, znesnadni to tipovani komunikace po HTTPS pomoci znalosti delky zpravy?

To sice znesnadní (i když, v některých scénářích jako CRIME/BREACH prostě útočník provede více měření), ale není to to, co jsem měl namysli. Moderní symetrické blokové šifry používají délku bloku typicky 128b (16B). V některých módech, například CBC, útočník vidí pouze délku zarovnanou na délku bloku, takže při přenesení 16358 bytů plaintextu útočník dovede určit, že se přeneslo 16353–16368 bytů plaintextu (snad jsem to spočítal dobře), neví ale úplně přesné číslo.

Nejspíš to ale většinou nebude velká překážka, navíc se třeba v TLS od těchto módů upouští ve prospěch AEAD, které – co jsem zatím viděl – byly vždy proudové, a tedy prozradí přesnou délku.