La crittografia opportunistica di HTTP / 2 degli URI http che utilizza TLS sembra consentire la possibilità di attacchi man-in-the-middle. È vero?
RFC per la crittografia opportunistica .
Ecco le specifiche di HTTP / 2 per la crittografia opportunistica .
La crittografia opportunistica presuppone solo un attaccante passivo (cioè solo sniffing) e quindi, naturalmente, rende possibili attacchi man-in-the-middle da parte di un attaccante attivo (che può modificare la connessione). Questo non è limitato a HTTP / 2 ma a una limitazione generale della crittografia opportunistica. Vedi anche Wikipedia su questo argomento.
Leggi altre domande sui tag tls man-in-the-middle