Per quanto ho capito, il captive portal è implementato da una sorta di regole firewall iptable. Poiché non è stata stabilita alcuna stretta di mano durante l'associazione iniziale con l'AP (non è richiesta alcuna passphrase), significa che tutto il traffico successivo verrà inviato non crittografato anche dopo che l'utente si è autenticato tramite il captive portal? (Ciò significa che un utente malintenzionato può annusa tutto il traffico e inietti pacchetti arbitrari)