El sistema se basa en explotar la compresión "deflate" utilizada en HTTP. Este sistema de compresión sólo almacena en la salida la primera aparición de una cadena, y sustituye las siguientes por punteros a esa única cadena. De esta forma si una cadena ya existe el tamaño final no aumenta, lo que permite ir probando distintas cadenas para ver cuales ya existen (y por tanto pueden ser lo que se busca) y cuales no. Ejemplo: si "value=0" hace que la salida aumente, se prueba "value=1", etc. Si no aumenta, seguramente tengamos el primer caracter.
Comentarios
Y este ataque se hace desde JavaScript, no penseis que es un ejercicio teórico que requiere un hackeo previo de un servidor, o del cliente, o del router, etc.
Un puto anuncio con JavaScript es suficiente.
"HEIST is able to count the number of frames and windows sent by interacting with a set of newly approved APIs, one called Resource Timing and another called Fetch. In the process, they allow a piece of JavaScript to determine the exact size of an HTTPS response."
Tiene una pinta horrible, joder.
Y luego la gente diciendo que quienes bloqueamos la publicidad roban, etc.