中间人攻击带来的威胁

不需要MITM攻击就可以读取未加密的数据。 MITM攻击用于允许攻击者读取已经加密的数据。编辑：与MITM攻击相关的问题不是您是否应该进行加密，而是在设置加密连接时是否应进行某种身份验证（即验证远程方的身份）。如果完全不加密，则“窃听者”只需查看数据随着流动的过程并看到其中的所有内容。 MITM攻击适用于您进行加密但未验证发送加密数据对象的情况。在这种情况下，攻击者将自己插入对话中-您连接到攻击者，并向他发送加密数据。他连接到您打算通话的人，并与您两个人创建一个加密连接。然后，当您发送数据时，他接收它，使用您的密钥解密，使用目标的密钥重新加密，并将其发送到目标。同样，他使用目标的密钥解密任何返回的数据，并使用您的密钥重新加密。这样，对您和目标来说，通信似乎正常进行-但攻击者可以阅读您发送的所有内容。但是，如果您根本不加密数据，则所有这些都是不必要的，因为您正在发送纯文本，攻击者可以在数据传输中查看数据。

MITM攻击并不一定会被加密所阻止。例如，如果您使用所谓的“自签名证书”进行加密，则您的通信将被加密，但MITM攻击仍然可能发生。例如，如果您加载"Fiddler"到客户端上，并使用自签名证书，它将执行MITM操作以便观察所有流量。客户端和服务器将意识不到MITM正在发生。
如果您使用真正的PKI（涉及真正受信任的第三方），则MITM是不可能的。
无论如何，如果您的数据价值对攻击者来说“值得”，那么MITM攻击就相当容易实现。

根据应用程序而定，但如果发送的数据具有任何敏感性，一定要防止中间人攻击！这是一个非常相关的危险，特别是随着Wi-Fi的普及越来越容易实现；去年我和朋友很轻松地复制了Gmail MIMA。

我建议您查阅Internet Storm Center (isc.sans.org)以了解有关互联网攻击类型频率的任何问题。
请记住，MITM是一个非常广泛的术语，您似乎更担心仅仅是会话嗅探（即窃听）攻击。嗅探攻击很容易实现。完整的MITM可以修改会话，这可能与仅查看信息有不同的含义。此修改需要更高级的技巧，但不需要自定义工具。
在您的站点上使用TLS/SSL将保护数据免受窥视，并确保客户端确实与正确的服务器通信。
针对编码的说明 - 无论您是否决定使用加密，都应该设计您的Web应用程序，使得以后添加加密不会太麻烦。

任何时候当你谈论安全性时，都是在谈论数据的敏感性。你的秘密对某人越有价值，他们就会越有决心去获取它，并且他们将扩大使用的资源。相反，对你来说，如果保守秘密越有价值，那么你应该扩大保护它所用的资源。

中间人攻击对于任何人来说都很容易，特别是在公共网络上。你需要决定是否允许任何人阅读你的数据...