この製品は、ある行為者の身元を確認することなく、その行為者と鍵交換を行う。
鍵交換を行うことで、2つのエンティティ間で送信される情報の完全性は保たれるが、そのエンティティが本人であることは保証されない。このため、攻撃者は2つのエンティティ間のトラフィックを変更することで、行為者になりすますことができる。 典型的には、信頼されたサーバになりすました悪意のあるサーバに、被害者クライアントが接触する。クライアントが認証をスキップしたり、認証失敗を無視したりすると、悪意のあるサーバはユーザに認証情報を要求することがある。悪意のあるサーバは、この認証情報を使用して、被害者の認証情報を使用して信頼されたサーバにログインしたり、被害者と信頼されたサーバ間のトラフィックをスニッフしたりすることができる。
The product performs a key exchange with an actor without verifying the identity of that actor.
Performing a key exchange will preserve the integrity of the information sent between two entities, but this will not guarantee that the entities are who they claim they are. This may enable an attacker to impersonate an actor by modifying traffic between the two entities. Typically, this involves a victim client that contacts a malicious server that is impersonating a trusted server. If the client skips authentication or ignores an authentication failure, the malicious server may request authentication information from the user. The malicious server can then use this authentication information to log in to the trusted server using the victim's credentials, sniff traffic between the victim and trusted server, etc.