<div dir="ltr"><p style="margin:0px 0px 0.357143em;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif">The gzip compression format used by HTTP if accepted by both server and client, under certain configurations, provides the date of the server that compressed the HTTP Response. This information can be used by a third party to know the time zone where the onion site is hosted.</p><p style="margin:0.357143em 0px;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif">I have written a more in depth explanation about the topic at:</p><p style="margin:0.357143em 0px;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif"><a href="http://jcarlosnorte.com/security/2016/02/21/date-leak-gzip-tor.html" style="text-decoration:none;color:rgb(0,121,211);margin:0px">http://jcarlosnorte.com/security/2016/02/21/date-leak-gzip-tor.html</a></p><p style="margin:0.357143em 0px;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif">A proof of concept is included, to check if your service is leaking this information through the gzip headers of a compressed HTTP Response.</p><p style="margin:0.357143em 0px;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif">I have decided to share this because is not an obvious miss-configuration that could lead to the leak of information about the physical position of your hidden service. Be careful.</p><p style="margin:0.357143em 0px 0px;padding:0px;font-size:14px;line-height:1.42857em;font-family:verdana,arial,helvetica,sans-serif">Of course, just knowing the timezone of your hidden service server is not enough to know your identity, or your exact server location, but combined with another leaks or other pieces of information, could be dangerous.</p></div>