Dabei analysiert Airlock alle aus der Web-Applikation kommenden HTML-Dokumente auf dem Weg zum Benutzer und chiffriert die darin befindlichen Links, so dass sie nicht mehr modifizierbar sind. "Man muss also nur einen einzigen unverschlüsselten Einstiegspunkt definieren - in der Regel die Startseite. Alle weiterführenden Links, Dokumente sowie sämtliche Navigationspfade innerhalb der Web-Anwendung sind dann verschlüsselt -und zwar nicht nur auf Verbindungsebene wie bei einer SSL-Verschlüsselung, sondern die URL beziehungsweise die in der Browser-Zeile sichtbare Adresse selbst", erläutert Daniel Estermann, Geschäftsführer bei der Visonys Deutschland GmbH, das Funktionsprinzip. Laut Thomas Schreiber, Geschäftsführer bei der auf Web-Applikationssicherheit spezialisierten Securenet GmbH, lassen sich mittels URL-Verschlüsselung gleich mehrere Übel an der Wurzel packen und eine ganze Klasse von Angriffsformen auf die Session-ID, etwa Session-Hijacking, -Fixation,- Denial-of-Service sowie -Riding, verhindern helfen. Auch könnten damit die Möglichkeiten der URL-Parameter-Manipulation, die Angreifern etwa dazu dienen können, sich höhere Zugriffsrechte zu verschaffen, deutlich eingeschränkt werden.
