Stejně, pokud první požadavel půjde na HTTP, tak aktivní narušitel má pořád tu možnost, zabrání to jen pasivnímu sniffování nebo pozdě příchozím útočníkům. A pokud hned první požadavek půjde na HTTPS, pak tato volba nemá moc co přinést, leda vynucení HTTPS přes prohlížeč.
