Onderzoekers van Microsoft hebben een nieuw protocol bedacht dat gebruikers van draadloze netwerken en open hotspots tegen hackers en man-in-the-middle aanvallen moet beschermen. HTTPS kan dit soort aanvallen voorkomen, zijn er nog maar weinig websites die het gebruiken, mede vanwege kosten en prestaties, aldus de onderzoekers. Zo zijn HTTPS websites niet te cachen via CDN servers en cache proxies zonder dat dit invloed op de end-to-end beveiliging heeft. "Nu meer en meer webcontent cachebaar is, is HTTPS niet het volledige antwoord voor een end-to-end veilig web", aldus Kapil Singh.

Caching
De onderzoekers stellen dat alleen end-to-end authenticatie en integriteit vereist zijn voor de browser om de same-origin policy te handhaven. Zonder end-to-end vertrouwelijkheid is het mogelijk om de inhoud te cachen. "Gezien deze observatie, stellen we een nieuw protocol voor, HTTPi", laat Singh weten. HTTPi kan end-to-end authenticatie en integriteit verzorgen en ondersteunt bestaand webcaching oplossingen.

Ook ondersteunt het content signing, iets wat offline gedaan kan worden. Daardoor zou HTTPi nauwelijks voor meer overhead dan normaal HTTP-verkeer zorgen. De onderzoekers stellen dan ook voor om HTTPS te gebruiken voor requests die end-to-end vertrouwelijkheid vereisen en HTTPi voor alle overige requests.

"We zien HTTPi als aanvulling op HTTPS om end-to-end security naar het gehele web te brengen. Alleen wanneer er end-to-end security is, kunnen het web en de browser over een geheel veilig systeem beschikken", aldus de onderzoekers.

B ron: security.nl