È possibile avere un uomo nell'attacco centrale che funzioni in questo modo:
(Supponendo che siano sulla stessa rete)
- L'attaccante ottiene un uomo nel mezzo dell'attacco con avvelenamento da ARP o qualcosa con il gateway e la vittima.
- La vittima desidera avere una connessione https al link
- L'autore dell'attacco imposta una connessione https con il link per la vittima.
- L'attaccante imposta una connessione https falsa tra se stesso e la vittima e falsifica i certificati https in modo da avere due diverse connessioni https.
Ora l'utente malintenzionato dovrebbe avere il controllo completo su ciò che fa la vittima senza impostare avvisi del browser come sslstrip.
Che cosa serve per impedire a un utente malintenzionato di eseguire un attacco del genere?