Это плохая идея иметь диалог входа в iframe?

Question

Мы создаем веб-сайт, на котором мы будем раздавать фрагменты кода нашим пользователям, которые они могут размещать на своих сайтах. Эти фрагменты содержат ссылку, которую включает javascript. При нажатии на ссылку открывается фрейм, содержащий диалог входа на наш сайт. Затем пользователь проходит аутентификацию внутри iframe, выполняет свою работу, и когда он покидает iframe, его сеанс закрывается. У нас все уже работает, и оно очень гладкое.

Нашей главной заботой является фишинг. Теперь у пользователя есть возможность очень точно определить, откуда на самом деле идет страница входа. С другой стороны, фишинговые атаки также успешны, даже если пользователь видит фальшивый URL в адресной строке.

Будете ли вы вводить свои (OpenId) учетные данные в iframe? Кто-нибудь знает схему, с помощью которой мы могли бы минимизировать вероятность фишинг-атаки?

Answer 1

У пользователя теперь совершенно точно есть способ определить, откуда на самом деле появляется страница входа.

Есть способы обойти это, если пользователь выберет секрет, который может отобразить реальная страница входа, чтобы идентифицировать себя. Обычно это делается с помощью легко идентифицируемых изображений.

Однако это не единственная проблема. Если вы позволяете создать свою страницу входа в систему (и пользователь ожидает этого), вы также открываете себя для атак с помощью клик-кражи. Сторонний сайт может создать рамку для вашей страницы входа в систему, а затем position: absolute над своими HTML-элементами. Такие элементы, как входы, находятся прямо над вами, каждый раз нажимая клавишу, чтобы получить пароль.

Вы можете разрешить создание простой кнопки «начать процесс входа в систему» ​​и, возможно, имя пользователя / идентификатор, но форма, в которую должен вводиться пароль, должна открываться в его собственном окне браузера (либо в главном окне, либо в всплывающее окно) с собственной адресной строкой и индикатором SSL.

Будете ли вы вводить свои (OpenId) учетные данные в iframe?

Боже, нет.

Answer 2

Я бы порекомендовал не использовать IFrame, так как они нарушают доступность, seo и семантику, если только вы не хотите, чтобы они были побеждены. Если вы просите людей войти через IFrame, у вас есть определенный барьер доступности, который в некоторых странах может считаться юридически дискриминационным.