Yako, ja to biorę z prostego wnioskowania: w jaki sposób proxy Opery Mini może przystosować stronę do wyświetlenia na ekraniku telefonu bez przeanalizowania jej w wersji odszyfrowanej? No właśnie.
Na moje oko operacja odbywa się tak: Ty wchodzisz na stronę mbanku i logujesz się, proxy nawiązuje połączenie SSL z mBankiem w twoim imieniu, otrzymuje zaszyfrowane SSL pliki HTML, które odszyfrowuje, odpowiednio przetwarza i szyfruje ponownie własnym kluczem SSL (który ustalany jest na podstawie losowego ciągu "generowanego" na żądanie opery po jej instalacji - chodzi o to dziwne naciskanie klawiszy). Bank nie widzi, że sesja jest przeprowadzana z pośrednictwem jakiegoś proxy, czy nie, bo nie ma jak tego się dowiedzieć.
A ponieważ strona jest przechowywana w formie niezaszyfrowanej co najmniej przez chwilę (na czas konwersji na potrzeby small screen rendering) w pamięci proxy serwera, istnieje ryzyko jej przejęcia, jak i wszystkich informacji niezbędnych do przejęcia sesji (bo w zasadzie na tym polega to proxy'owanie). Poza tym cookies i wszystkie odnośniki muszą być przechowywane w pamięci proxy serwera do czasu zakończenia połączenia.
Nie sugeruję, iż Opera ASA ma gówniane zabezpieczenia i nie dba o bezpieczeństwo takich sesji maksymalnie jak się da, ale mimo wszystko mam mieszane uczucia, co do przesyłania "sensitive data" przez jakiegokolwiek pośrednika, który te dane może/musi odszyfrować.
Poza tym polecam poczytanie o sesjach SSL jako takich np. w nieszyfrowanych sieciach WiFi - sesję (tunel bezprzystankowy jak to nazwałeś) da się przejąć bez wielkiego bólu.
EDIT: na potwierdzenie moich przypuszczeń polecam... FAQ opery mini:
http://www.operamini.com/help/faq/ - punkt "Is there any end-to-end security between my handset and for example paypal.com or my bank?" - (Czy Opera mini zapewnia pełne zabezpieczenie na całego połączenia od telefonu aż do serwera np. paypal.com lub nojego banku?) - odpowiedź krótka: No (Nie). Dalej jest... to co napisałem wyżej.