Учитывая эту ситуацию, можно выполнить атаку «человек посередине»:
- Для связи используется протокол HTTPS
- Злоумышленник перехватывает запрос от клиента и отправляет самому клиенту действительный сертификат, подписанный ЦС (не настоящий сертификат сервера, а собственный сертификат, подписанный ЦС, а не самоподписанный сертификат)
- Злоумышленник перенаправляет запрос клиента на URL своего сервера
Клиент что-то замечает? И в конце концов, какое решение этой проблемы?