kürzlich wiesen (u.a.) Angelo Prado von Salesforce auf der BlackHat-Konferenz eine  schwere Sicherheitslücke in der HTTPS-Komprimierung nach. Man kann von der Länge verschlüsselter Antworten einer HTTPS-geschützten Seite auf die Secrets/Schlüssel schließen, wenn der Angreifer den Traffic mitlauschen kann.

Man kann dem als Seitenbetreiber evtl. begegnen, indem u.a. die HTTP-Komprimierung ausgeschaltet und die Secrets randomisiert werden sollten: http://www.kb.cert.org/vuls/id/987798

Dies reiht sich in das Problemfeld HTTPS-Verschlüsselung ein: https://www.datenschutz-grundschutz.de/?p=265