Hvorfor slutter BankID å støtte innlogging via iframe?
iFrames er gammel teknologi som utgjør en betydelig sikkerhetsrisiko. I likhet med bla. Google, ID-porten og Auth0 har BankID stengt for bruk av iframes ved autentisering og signering.
BankID slutter å støtte innlogginger via iFrames. Her er årsakene til det.
Enklere for sluttbrukere å oppdage phishing
Tidligere har brukeropplevelsen med BankID variert betydelig fra nettsted til nettsted: web-klientdimensjoner, BankID på mobilgrensesnitt, fargevalg og mer har variert mye mellom nettbutikker. Som et resultat har BankID-brukere blitt vant til å akseptere avvikende brukeropplevelse. Dette er et betydelig problem ettersom dette gjør brukerne mer sårbare for phishing-angrep. iFrames gjør det i praksis umulig for sluttbruker å verifisere opprinnelsen til BankID-webklienten ved å enkelt sjekke URL-en i nettleseren.
Forebygger XSS-angrep
OpenID Connect-protokollen sender noen autentiseringsdata i frontkanalen (autentisering via autorisasjonskode). Denne autorisasjonskoden er sårbar for session hijacking når klienten vises i en iframe (siden iframe-url-en alltid er tilgjengelig fra parent page). Å støtte iframes gjør det mulig for en angriper å enkelt opprette en svindel-nettside som stjeler sesjoner fra ekte nettsteder.
Sikrer effektiv svindeldeteksjon
For å beskytte brukernes privatliv blokkerer moderne nettlesere sporing fra tredjeparter når tredjepartsinnhold vises i en iframe. Dette reduserer sikkerheten ved pålogging, da nettleseren aktivt begrenser BankIDs tilgang til parametere som brukes til å identifisere svindel. Vi forventer også at nettleserleverandørene vil fortsette med nye tiltak som vanskeliggjør antisvindel-arbeid gjennom iframes. Svindeldeteksjon er en sentral del av det som gjør BankID sikkert.
Støtter oppunder teknologier som er laget for å hindre phishing
FIDO2 og WebAuthn benyttes for BankID Biometri. En nøkkelegenskap ved disse protokollene er motstand mot phishing, og som en konsekvens er bruk i iframes deaktivert som standard.