<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On Aug 18, 2013, at 14:27 , howard chen wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">Hi,<div><br></div><div>Thanks for the insight.</div><div><br></div><div>Finally I solved by:</div><div><br></div><div><div>if ($scheme = https) {</div><div>    gzip off;</div><div>}</div></div></div></blockquote><div><br></div>This does not work on server level. And on location level it may work in wrong way.</div><div><br><blockquote type="cite"><div dir="ltr">
<div>Separating into two servers require to duplicate the rules like rewrite, which is cumbersome.</div></div></blockquote><div><br></div><div>I believe that dual mode server block may be subject to vulnerabilities due to site map,</div><div>so BREACH is the least of them.</div><div><br></div><div><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><br class="Apple-interchange-newline">-- <br>Igor Sysoev<br></span></div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Georgia; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><a href="http://nginx.com/services.html">http://nginx.com/services.html</a></span></div></span></div></span></div></span></span></div><br><blockquote type="cite"><div class="gmail_extra"><div class="gmail_quote">On Sat, Aug 17, 2013 at 8:43 PM, Igor Sysoev <span dir="ltr"><<a href="mailto:igor@sysoev.ru" target="_blank">igor@sysoev.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex; position: static; z-index: auto; ">
<div style="word-wrap:break-word"><div><div class="im"><div>On Aug 17, 2013, at 8:59 , howard chen wrote:</div><br><blockquote type="cite"><div dir="ltr">Hi,<div><br></div><div>As you know, due the breach attack (<a href="http://breachattack.com/" target="_blank">http://breachattack.com</a>), HTTP compression is no longer safe (I assume nginx don't use SSL compression by default?), so we should disable it.</div>
</div></blockquote><div><br></div></div><div>Yes, modern nginx versions do not use SSL compression.</div><div class="im"><br><blockquote type="cite"><div dir="ltr">
<div>Now, We are using config like the following:</div><div><br></div><div><div>    gzip on;</div><div>    ..</div><div>    </div><div>    server {</div><div>        listen <a href="http://127.0.0.1/" target="_blank">127.0.0.1:80</a> default_server;</div>

<div>        listen <a href="http://127.0.0.1:443/" target="_blank">127.0.0.1:443</a> default_server ssl;</div><div>    </div><div>    </div></div><div><br></div><div>With the need to split into two servers section, is it possible to turn off gzip when we are using SSL?</div>

</div></blockquote></div></div><div><br></div>You have to split the dual mode server section into two server server sections and set "gzip off"<div>SSL-enabled on. There is no way to disable gzip in dual mode server section, but if you really</div>
<div>worry about security in general the server sections should be different.<span class="HOEnZb"><font color="#888888"><br></font></span></div></div></blockquote></div></div></blockquote></div><br></body></html>