Man in the middle Attacken sind dann aber z.B. über einen Proxy möglich, dessen Zertifikat vom Client akzeptiert wird. Der Proxy sieht den gesamten Traffic dann unverschlüsselt. Zum Beispiel bei Unternehmensfirewalls gibt es solche transparenten Proxyserver.
Geht aber auch nur, wenn der Client es versäumt den Public-Key/des Zertifikat des Servers gegenzuprüfen. Ist diese Vorraussetzung aber erfüllt, dann ist dein Traffic - zumindest für heimliche Mitleser - nicht mehr einzusehen.
Ein Restrisko ist dann vorhanden, wenn die Firewall angreifbar ist, zum Beispiel Request-Logs schreibt (in denen dann das Token erscheint), oder andere "heimliche" Anwendungen Zugriff haben können.
Das Prüfen des Zertifikats durch den Client schliesst diese Lücke nicht.