iFrames er gammel teknologi som utgjør en betydelig sikkerhetsrisiko. I likhet med bla. Google, ID-porten og Auth0 har BankID stengt for bruk av iframes ved autentisering og signering.
BankID slutter å støtte innlogginger via iFrames. Her er årsakene til det.
Tidligere har brukeropplevelsen med BankID variert betydelig fra nettsted til nettsted: web-klientdimensjoner, BankID på mobilgrensesnitt, fargevalg og mer har variert mye mellom nettbutikker. Som et resultat har BankID-brukere blitt vant til å akseptere avvikende brukeropplevelse. Dette er et betydelig problem ettersom dette gjør brukerne mer sårbare for phishing-angrep. iFrames gjør det i praksis umulig for sluttbruker å verifisere opprinnelsen til BankID-webklienten ved å enkelt sjekke URL-en i nettleseren.
OpenID Connect-protokollen sender noen autentiseringsdata i frontkanalen (autentisering via autorisasjonskode). Denne autorisasjonskoden er sårbar for session hijacking når klienten vises i en iframe (siden iframe-url-en alltid er tilgjengelig fra parent page). Å støtte iframes gjør det mulig for en angriper å enkelt opprette en svindel-nettside som stjeler sesjoner fra ekte nettsteder.
For å beskytte brukernes privatliv blokkerer moderne nettlesere sporing fra tredjeparter når tredjepartsinnhold vises i en iframe. Dette reduserer sikkerheten ved pålogging, da nettleseren aktivt begrenser BankIDs tilgang til parametere som brukes til å identifisere svindel. Vi forventer også at nettleserleverandørene vil fortsette med nye tiltak som vanskeliggjør antisvindel-arbeid gjennom iframes. Svindeldeteksjon er en sentral del av det som gjør BankID sikkert.
FIDO2 og WebAuthn benyttes for BankID Biometri. En nøkkelegenskap ved disse protokollene er motstand mot phishing, og som en konsekvens er bruk i iframes deaktivert som standard.