Razón 1 Un tipo de ataque contra el que una conexión SSL autenticada mutuamente protegería es el robo de credenciales XSS.
Las conexiones cifradas SSL típicas solo autentican el servidor. Para autenticar al cliente, el usuario ingresa su nombre de usuario / contraseña. Por lo general, entonces, la identificación de la sesión del usuario se utiliza para mantener esa conexión autenticada con el servidor.
Un ataque XSS podría robar esa identificación de sesión y enviarla al atacante. El atacante luego usa ese ID de sesión para obtener acceso a la cuenta del usuario sin necesidad de una contraseña.
MA-SSL protegería contra esto ya que el cliente se autentica (probablemente con un certificado de cliente) y no se requiere identificación de sesión.
Razón 2 Otra razón para MA-SSL es que con el despliegue tradicional de SSL (server auth by cert, client auth by password), si un servidor puede engañar al cliente para que crea la autenticidad de el servidor (por ejemplo, escribir mal el dominio con un solo carácter y registrar un certificado válido), cuando el cliente está autenticado, el servidor ahora tiene la capacidad de suplantar al cliente. Los protocolos de MA basados en certificados son mucho más fáciles de diseñar de tal manera que el servidor no puede hacerse pasar por el cliente después de una autenticación exitosa del cliente.
NOTA: el uso de MITM en la cita que publicaste parece incorrecto.