> Bo jak dla mnie każdy normalny bank jest odporny na mitm(bo samo
> zestawienie połączenia https używa tz. trzeciej zaufanej strony i taki
> atak nie przejdzie ).
> Zaś token(np RSASecurID) jest dodatkowym zabezpieczeniem(tak jak
> karteczki z mBanku) i nie ma nic wspólnego z atakiem mitm.

Jeśli dobrze zrozumiałem to chodzi o zaufaną trzecia stronę czyli, jesli
dalej dobrze rozumiem, o wystawce certyfikatu, tak ?

Większosc ataków nie jest kierowana przeciwko bankowi, a przeciwko
użytkownikowi, w tym przypadku całość opiera sie na braku
wiedzy/lenistwie/braku czujności użytkownika, który zaakceptuje bez
sprawdzenia podstawiony certyfikat.
A wtedy czy to będzie token czy nie - nie ma już większego znaczenia.

Oczywiście trzeba uszczegółowić do czego jakie zabezpiczenie jest
używane - w tym przypadku token - czy do logowania do banku czy do
wykonywania dyspozycji.

Dlatego dopiero zastosowanie róznego typu zabezpieczeń daje mniejszy lub
większy poziom bezpieczeństwa.

pozdrawiam
nodde