Ja, Kompression ist derzeit aktiviert. Uns ist die VORACLE-Sicherheitslücke
bekannt, allerdings sehen wir keinen dringenden Handlungsbedarf, da der
Angriff kaum praktikabel ist, denn neben VPN-Kompression müssen folgende
Bedingungen erfüllt sein:
1. Der Angreifer muss sich im gleichen Netzwerk wie Du befinden. Das
heißt, aus dem Internet geht dieser Angriff so ohne weiteres
(zusätzliche Angriffe) nicht.
2. Es betrifft ausschließlich HTTP-Webseiten. Fast alle Webseiten sind
inzwischen HTTPS und die noch existierenden HTTP-Only seiten sind in der
Regel statisch mit keiner Nutzerinteraktion.
3. Du musst eine HTTP-Webseite besuchen, die unter der Kontrolle des
Angreifers steht (er muss dich also dazu bringen, einen bestimmten Link
zu...