I siti web hanno vari metodi implementati per dire al browser di usare sempre HTTPS - intestazione HSTS, redirec server su HTTPS, politica CSP. Tuttavia, la prima volta che un utente visita il sito può essere su HTTP palin. Solo dopo che il browser saprà che il sito dovrebbe essere su TLS lo utilizzerà sempre.
Ma cosa succede se un attacco ha accesso al traffico durante la prima visita e agisce come un uomo in mezzo?
Ad esempio, l'attaccante può eseguire un attacco di fissazione della sessione. L'utente malintenzionato visita il sito e viene assegnato un cookie con un ID di sessione. Quando l'utente visita il sito su HTTP, l'autore dell'attacco risponde per conto del server e assegna il suo cookie all'utente. Quindi l'attaccante lascia tutto il traffico in avanti. L'utente fa richieste con l'ID di sessione dell'utente malintenzionato, fornisce informazioni e così via. Ora l'utente malintenzionato può effettuare richieste con quell'ID e ottenere le informazioni dell'utente.
Cosa si può fare per fermare questo tipo di attacco?