Motivo 1 Un tipo di attacco a cui una connessione SSL autenticata reciprocamente potrebbe proteggere è il furto di credenziali XSS.
Tipiche connessioni crittografate SSL autenticano solo il server. Per autenticare il client, l'utente inserisce il suo nome utente / password. Di solito, l'id di sessione dell'utente viene utilizzato per mantenere quella connessione autenticata con il server.
Un attacco XSS potrebbe rubare quell'ID di sessione e inviarlo all'attaccante. L'utente malintenzionato utilizza quindi quell'ID di sessione per accedere all'account dell'utente senza bisogno di una password.
MA-SSL protegge da questo in quanto il client è autenticato (probabilmente con un certificato client) e non è richiesto alcun ID di sessione.
Motivo 2 Un altro motivo per MA-SSL è che con la tradizionale implementazione di SSL (autenticazione del server tramite cert, autenticazione del client tramite password), se un server può ingannare il cliente nel credere all'autenticità di il server (ad esempio, ortografia errata del dominio da un singolo carattere e registrazione di un certificato valido), quando il client è autenticato, il server ha ora la possibilità di impersonare il client. I protocolli MA basati sui certificati sono molto più facili da progettare in modo tale che il server non possa impersonare il client dopo una corretta autenticazione del client.
NOTA: L'uso di MITM nella citazione che hai postato sembra sbagliato.