關於未經身份驗證的客戶端的 MitM

我試圖了解在密鑰交換期間如何防止中間人攻擊，並且對這個Wikipedia 聲明感到困惑：

使用相互身份驗證（伺服器和客戶端都驗證對方的通信）涵蓋了 MITM 攻擊的兩端，儘管大多數連接的預設行為是僅對伺服器進行身份驗證。

是說客戶端驗證它確實是從伺服器接收的，但伺服器不在乎誰在發送？這是否意味著伺服器可能正在與將自己插入中間的竊聽者交談，並且竊聽者無法解密伺服器響應（只是轉發給客戶端）但可以假裝是客戶端並查看客戶端是什麼發送？

但可以偽裝成客戶端，看看客戶端發送了什麼

不，竊聽者除了密文和密文的大小外，看不到任何一方正在發送的內容。

要竊聽伺服器經過身份驗證的任何連接，竊聽者必須能夠說服客戶端他是伺服器，而竊聽者不能。

這是否意味著伺服器可能正在與將自己插入中間的竊聽者交談

任何網際網路中間盒都可以做到這一點。

竊聽者無法解密伺服器響應

是的，竊聽者也無法解密客戶端請求，因為竊聽者沒有會話密鑰。

但可以偽裝成客戶端，看看客戶端發送了什麼

同樣，竊聽者沒有會話密鑰，他不能這樣做。

引用自：https://crypto.stackexchange.com/questions/83461