De sender innlegg via SSL. Dette vil gi beskyttelse mot en passiv MITM siden legitimasjonen vil bli kryptert på innlegget tilbake, men det gjør effektivt ingenting mot en aktiv angriper som er i stand til å endre trafikk siden de bare kan endre URL-en for tilbakeførsel og brukeropplevelsen ikke vil endre seg .

En smart klient kan verifisere integriteten til tilbakeførsels-URL før legitimasjonssending (inkludert inspeksjon av siden for javaskript som kan endre URL-en) og unngå et MITM-angrep, men praktisk talt for det gjennomsnittlige internett bruker, er det ikke sikkert. Nettstedet du besøkte, burde virkelig bytte til å gi påloggingsskjermen på en fullstendig HTTPS-side.

For å virkelig beskytte mot mann-i-midten-angrep, må du:

• bruke en slags integritetskontroll på alle utvekslinger mellom klient og server;
• håndheve minst enveisgodkjenning (serveren må autentisere klienten, eller klienten må autentisere serveren).

I utgangspunktet å gjøre det SSL gjør. I en webkontekst med vanlig HTTP er klienten dum og vil ikke gjøre de nødvendige tingene. For å gjøre klienten "intelligent", må du ta med litt kode på klientsiden, dvs. Javascript - men hvis du ikke laster ned Javascript over HTTPS, mister du.

Så jeg antar at samtalepartneren din er villedet, eller lyver bevisst til deg, eller begge deler.

Mennesket i midten er et vanskelig problem å beskytte mot. Det er som å si at det er en måte å stoppe tiden på, eller er det en lås som ikke kan velges. Mitt generelle svar er "nei", det er ikke en måte å generisk beskytte, carte blanche mot MiTM-angrep, periode, og det er ikke engang en god måte å stoppe dem.

Den beste måten å alltid løse disse problemer er med en lagdelt løsning, for å heve linjen mot et MiTM-angrep. Ellers vil enhver enkeltpunktsløsning alltid bli omgått og voila, du har en mann i midten.