Mi sono imbattuto recentemente in questo scenario, in cui un'applicazione mobile utilizzata per il servizio bancario invia richieste HTTP per immagini GIF e richieste HTTPS per tutte le altre transazioni. Ma le richieste alle immagini GIF vengono inviate a un dominio diverso e le richieste relative alle transazioni bancarie vengono inviate a un altro dominio diverso. Questo comportamento di questa applicazione pone dei rischi per la sicurezza?
Voglio dire, può la richiesta http & la risposta può essere manomessa per eseguire qualsiasi tipo di attacco?
Se possibile, come può essere sfruttato?