Un usuario final no entrenado que utiliza un navegador web móvil es vulnerable a la suplantación de identidad (phishing) y no puede verificar fácilmente la autenticidad (o seguridad) de un sitio web entre otros temas . Además, es muy fácil evitar que incluso un usuario experto detecte MITM ocultando el ícono de HTTPS, reemplazándolo con un favicon o muchos otros trucos ya que la mayoría de los navegadores ocultan completamente la URL completa.
-
Es una aplicación nativa (quizás con certificado / certificado de raíz validación ) realmente la única forma de lograr una interacción segura con mis servicios de back-end a través de HTTPS?
-
¿Debo capacitar a mis usuarios finales para que no utilicen un navegador web y utilicen una "aplicación" que esté codificada en mi URL y, opcionalmente, haga una validación de certificado adicional para reducir el riesgo de MITM?
-
¿Debería mi servidor web llegar tan lejos como para detectar una sesión móvil e impedir que se autentiquen?