В этой статье предполагается, что симметричного шифра HMAC + достаточно для защиты от всех атак на сеанс HTTP. Это неверное предположение, так как это все еще оставляет дверь открытой для атак MITM. Кроме того, данная криптографическая система лучше реализована в виде блочного шифра в режиме CMAC, но она в равной степени уязвима.
Без защиты реального содержимого HTTP вы открываете дверь для атаки в стиле xss. Злоумышленник обычно перенаправляет трафик, но добавляет некоторый вредоносный javascript для выполнения своих собственных запросов с использованием XHR. Это предполагает, что существуют другие базовые системы безопасности сеансов, такие как файлы cookie «только HTTP».
Короче говоря, есть протокол с открытым исходным кодом, который защищает ваш сеанс от всех атак. Это SSL! SSL использует PKI для защиты от MITM, и это, безусловно, лучшее решение. HTTPS необходимо использовать на протяжении всего всего сеанса , и это требование OWASP 10 сломанной аутентификации и управления сеансами .