産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。
HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後にWebサーバーに送信する,という点。ユーザーが登録済みのパスワード情報をブラウザに送ることによって,サーバー認証も兼ねる。HTMLフォームによるパスワード入力ではないため,ユーザーの入力をそのまま取得する中間者攻撃が使えない。
なお,同プロトコルは2007年11月にIETF(Internet Engineering Task force)に「Internet-Draft」として提出され,同年12月の「70th IETF Meeting」から標準化に向けた議論が始まっている。産総研とヤフーは,今後もインターネット標準化作業を進めつつ,メジャーなWebブラウザに同プロトコルの機能が標準搭載されるよう,働きかけていくという。また,技術評価デモンストレーションとして,「Yahoo!オークション」での実証実験を2008年6月から開始する予定である。
