wie genau wäre Man-in-the-Middle bei einer HTTPS-Verbindung weniger "leicht" und weniger "möglich"?

Naja. Bei HTTPS sind die (meisten) Schlüssel zertifiziert, also unterzeichnet und die zur Unterzeichnung berechtigenden Zertifikate sind im Browser also auf dem Rechner gespeichert. Ansonsten gäbe es da noch den Fingerabdruck, den man sich, wenn man die Schlüssel selbst erzeugt hat, auf einem Zettel notiert und andernorts beim ersten Aufruf vergleicht und dann "diese Ausnahme dauerhaft speichert".

Ansonsten steht natürlich die Frage nach:

Dem Vertrauen in die Schlüssel-Zertifikate, welches ja auch nicht immer gegeben war oder nie wieder so naiv-vollständig sein wird wie es mal war.

Dem Vertrauen in den Nutzer - von denen aber leider so mancher auf alles klickt, was wie "Ja" "Hurra" "Weiter" aussieht oder folgen der Anweisung, auf der steht:

-------------------------------------------------------------
Ohne dieses Plugin können Sie die Tütten von .... nicht sehen. Das Plugin benötigt Root-Rechte, das Recht kostenpflichtige Rufnummern anzuwählen und Ihre Position an die nächste CIA-Drohne zu übermitteln. Da sie damit einverstanden sind klicken Sie jetzt unter Beibehaltung Ihrer bisherigen Denkleistung auf "Ja", "Hurra", "Weiter"!
-------------------------------------------------------------

Insgesamt aber ist es schwieriger HTTPS anzugreifen.

Jörg Reinholz