• Internet WATCH の記事，産総研とヤフー、フィッシング防止技術の評価用ソフトウェアを公開，より

産業技術総合研究所（産総研）とヤフーは22日、フィッシング詐欺の防止技術「HTTP Mutualアクセス認証」を組み込んだWebブラウザ「MutualTestFox」と、Webサーバー（Apache）用の拡張ソフトウェア「mod_auth_mutual」を公開した。
（中略）
HTTP Mutualアクセス認証では、パスワード入力欄をWebブラウザのアドレスバーと同じ領域に設けることで、HTMLコンテンツの側でパスワード入力欄を偽装できないようにする。また、入力したパスワードは暗号化して送信するため、誤って偽サイトでパスワードを入力してしまってもパスワードを盗まれることはないという。

　さらに、サーバーがログインパスワードを認証するだけでなく、Webブラウザ側でもサーバーを認証する相互認証を行なう。ユーザーとサーバーの間で通信を盗み見ながら中継を行なう中間者攻撃も、プロトコルの仕組みにより認証は成功しないという。こうして安全に認証が成立している場合に限り、 Webブラウザのアドレスバー欄に認証が成立していることが示されるため、ユーザーは正しく認証されていることを確認した上で個人情報などの入力が行なえるとしている。
（後略）

man-in-the-middle に強いというのは嬉しいですねー．産総研のプレスリリースをちらっと見てみたところ，Password Authenticated Key Exchange (PAKE) プロトコルを使っているようです．面白そうなので後でじっくり読んでみよう．