Recientemente hemos utilizado una herramienta de análisis de seguridad para evaluar la seguridad de una aplicación. Se planteó una configuración particular como una vulnerabilidad del medio. Las afirmaciones hechas en la explicación de la vulnerabilidad descubierta no parecen coincidir con los estándares de la industria.
La afirmación es que la seguridad del "modo de transporte" es insegura:
"El modo de transporte es la opción menos segura y debe evitarse."
Esta cita anterior proviene de este artículo relacionado con la seguridad de WCF:
enlace
La afirmación aquí presentada por HP parece ser que la seguridad de la capa de transporte, incluidos SSL y TLS, es menos segura que la seguridad basada en mensajes. El artículo además establece explícitamente que TLS es susceptible al ataque de hombre en el medio (MITM).
Investigaciones adicionales sobre los ataques MITM parecen indicar que el opuesto es cierto: TLS es la forma preferida para prevenir el ataque MITM. Los recursos que soportan TLS incluyen:
¿Los certificados de clientes ofrecen protección contra MITM?
Entonces, la pregunta es:
¿Hay algún mérito en la reclamación, según el artículo de HP, de que se debe evitar la seguridad en el modo de transporte, por las razones que se citan en ese artículo?
ACTUALIZACIÓN : para agregar algo de contexto, el caso de uso en nuestra situación es llamar a un servicio web, no a un sitio público.