日本產總研與雅虎公開防網釣技術

日本獨立行政法人產業技術綜合研究所（RCIS）週二（4/22）表示，與日本雅虎共同研究的防網釣技術有了新進展，他們利用密碼互相認證的通訊協定與MutualTestFox瀏覽器來阻止釣魚網站，同日並公開測試網頁與瀏覽器檔案以供實測。

在MutualTestFox登入網頁的流程是先在瀏覽器網址列後綴的使用者帳號與密碼欄位輸入資訊，接著資訊以鑑別式金鑰交換協定（Password Authenticated Key Exchange，PAKE）進行傳輸，透過此協定傳輸的資訊不會直接傳送到網址列裡的伺服器，就算被中途截取也無法還原。

傳送的帳號與密碼會與使用者之前在正確網站中設定的資訊比對，所以不知道這些資訊的假網站將無法偽裝出使用者已經認證成功的模樣，當認證成功後帳號欄背景將呈綠色，在此技術的通訊協定下假網站無法利用中繼攻擊（Man-in-the-middle Attack）模式也是優勢之一。

按照上述流程，使用者必須先確定帳號與密碼欄位一定連接在網址列後方，輸入重要個人資訊時也要先確認帳號欄是否處於成功認證的綠色狀態，因此RCIS認為這種方式相對於把密碼欄設置在網頁中的HTML協定或是Basic、Digest認證的彈出視窗來說安全性較高。

MutualTestFox是以火狐（FireFox）原始碼修改而成的瀏覽器，與一般瀏覽器差別在於多了新認證協定功能，這項研究從2006年開始，在網際網路工程任務小組IETF已進入標準化規格程序，6月預定先在日本雅虎拍賣上實測，之後將修正實測發生的問題持續研發。（編譯/張嵐霆）