<div dir="ltr">Thanks Xuelei and Brad for your replies!<div><br></div><div><a href="https://bugs.openjdk.org/browse/JDK-8244983">https://bugs.openjdk.org/browse/JDK-8244983</a> mentions that random padding could be used to mitigate BREACH attack. I googled for "breach random padding", found 3 similar requests [1] [2] [3] for enhancements, none of them was implemented. Also <a href="https://www.breachattack.com/">https://www.breachattack.com/</a> does not list TLS record padding as a means to mitigate the attack, presumably because even with random padding the response length will be eventually revealed if the request can be repeated.<br></div><div><br></div><div>What kind of padding length customization would you like to see in the JDK?</div><div><br></div><div>Daniel</div><div><br></div><div>[1] <a href="https://www.drupal.org/project/seckit/issues/2737783">https://www.drupal.org/project/seckit/issues/2737783</a></div><div>[2] <a href="https://bz.apache.org/bugzilla/show_bug.cgi?id=64434">https://bz.apache.org/bugzilla/show_bug.cgi?id=64434</a></div><div>[3] <a href="https://trac.nginx.org/nginx/ticket/1977">https://trac.nginx.org/nginx/ticket/1977</a></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">sob., 5 lis 2022 o 04:01 Bradford Wetmore <<a href="mailto:bradford.wetmore@oracle.com">bradford.wetmore@oracle.com</a>> napisał(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 11/4/2022 8:58 AM, Xuelei Fan wrote:<br>
> The padding may be also necessary to prevent from a kind of attacks, <br>
> besides hiding the length.  But I cannot recall the details.<br>
<br>
I have a vague recollection of that, but I was thinking it was something <br>
pre-1.3.  But I'm not seeing any special padding in the pre-TLSv1.3 <br>
changeset:<br>
<br>
c7c819cd8bba9f204f23b24a0d788fda61823eb3<br>
<br>
so I may be off in my recollections.<br>
<br>
>  Here is an enhancement <br>
> request in JBS (<a href="https://bugs.openjdk.org/browse/JDK-8244983" rel="noreferrer" target="_blank">https://bugs.openjdk.org/browse/JDK-8244983</a> <br>
> <<a href="https://bugs.openjdk.org/browse/JDK-8244983" rel="noreferrer" target="_blank">https://bugs.openjdk.org/browse/JDK-8244983</a>>), please feel free to take <br>
> it.<br>
<br>
Ah yes.<br>
<br>
Brad<br>
<br>
</blockquote></div>