Se questo è un semplice socket UDP o TCP, tutte le informazioni necessarie per rilevare la connessione sono visibili in chiaro su qualsiasi sistema nel mezzo. Questo significa che un uomo nel mezzo potrebbe prendere completamente il controllo della connessione dopo che è stato stabilito o anche solo inserirsi nella connessione e inoltrare i dati modificati al peer originale.
Ma se il protocollo dell'applicazione ha uno stato interno che non può essere derivato dall'attaccante da informazioni intercettabili, tale presa di posizione non è possibile. Questo è ad esempio vero se SSL / TLS è usato su TCP. In questo caso un uomo nel mezzo dell'attacco non è più pratico. Ma un utente malintenzionato sull'endpoint stesso potrebbe ad esempio iniettare il proprio codice in un'applicazione in esecuzione e quindi controllare quali dati vengono trasferiti sul socket.
Anche gli attacchi Man in the middle non sono possibili se l'attaccante non può annusare la semplice connessione UDP o TCP. Ciò può essere ottenuto proteggendo il percorso di comunicazione ai livelli inferiori, ad esempio con IPSec o altre tecnologie VPN. Ma gli attacchi allo stesso endpoint sono ancora possibili anche in questi casi.