<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Hello,<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Aug 18, 2013 at 4:48 PM, itpp2012 <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I think we could all benefit from a nginx recommendation on using gzip with<br>
single and dual mode server sections regarding a hardening approach against<br>
breach. Maxim?<br></blockquote><div><br><div class="gmail_default" style="font-size:small;color:rgb(51,51,153);display:inline">​As Igor advised, 2 different servers to server HTTP & HTTPS requests are preferred:<br><br>

server {<br>    listen 80;<br>    server_name <a href="http://inter.net">inter.net</a><br><br>    include inter.net_shared_http_https_content.conf<br>    # Conf specific to HTTP content delivery here<br>}<br><br>server {<br>

    listen 443;<br>    server_name <a href="http://inter.net">inter.net</a><br><br>    include inter.net_shared_http_https_content.conf<br>    # Conf specific to HTTPS content delivery here<br>}<br><br>If you read the conf for the gzip directive, you'd notice that gzip directive default value is 'off', so if you don't mention 'gzip on' anywhere in your conf tree for the considered servers, there'll be no HTTP compression.<br>

Thus, if you kept your server configuration minimal and didn't explicitely activated gzip compression somewhere, you are safe by default.<br><br>You couldn't be safier as the only way you are exposed would it be due to a lack of control/understanding of directives *you explicitely put* into your server(s) configuration.<br>

---<br></div></div></div><font size="1"><span style="color:rgb(102,102,102)"></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font>
</div></div>