BankID Norge har bekreftet at den nyeste versjonen av nettleseren Firefox, versjon 35.0 som ble utgitt den 13. januar, ikke alltid fungerer sammen med den Java-frie BankID 2.0-løsningen som mange nettbanker og andre brukersteder har tatt i bruk de siste månedene.
I en melding skriver BankID Norge at dersom man får feilmelding BID-2031, eventuelt en separat feilmelding fra nettbanken, anbefales det å benytte en annen nettleser.
BankID skal ha rapportert feilen inn til Mozilla. Parallelt med dette arbeider BankID Norge med å finne en løsning som omgår problemet inntil det har blitt løst av Mozilla.
Vår egen, svært begrensede test viser at vi får logget inn uten problemer hos DNB, men møter nevnte feilmelding når vi forsøker hos Skandiabanken. Det opplyses i feilmeldingen fra Skandiabanken at planlagt rettetid er den 27. januar.
Detaljene
Frode Beckmann Nilsen, drift- og utviklingssjef i BankID Norge, forteller til digi.no at problemet er knyttet til webstandarden Content Security Policy (CSP), som støttes godt av de fleste nettlesere. BankID benytter versjon 1.0 av denne.
– De ulike nettleserleverandørene jobber kontinuerlig med å utøke sin CSP-støtte, blant annet med støtte for en nyere versjon 2 av CSP-standarden. Mozilla har de siste månedene gjort flere endringer i sin CSP-støtte i Firefox. Fra og med Firefox 33 ble CSP-motoren skrevet helt om, og i FF35 er flere CSP 2.0-features tatt inn. Dette er en positiv utvikling, men vi har dessverre sett at arbeidet har ført til uønskede sideeffekter ved at det er introdusert bugs i CSP-støtten til Firefox, forklarer Beckmann Nilsen.
«Path»
Han skriver videre at det konkrete problemet som oppstod med Firefox 35, innebærer at Firefox nå tar høyde for «path» i URL-en.
– Dette er en CSP 2.0-feature. Uheldigvis er det introdusert en feil i Firefox som gjør at den konvertere URL-er til lowercase når policy parses. Da får man feilaktig match i de tilfellene hvor path i original-URL på brukerstedet inneholder uppercase. De BankID-brukersteder om kun benytter lowercase i sine URLer rammes ikke av dette problemet, mens de brukersteder som benytter uppercase rammes av problemet, skriver Beckmann Nilsen.
Feilrapporten som er sendt til Mozilla er tilgjengelig her, sammen med kommentarer fra utviklere.
– I skrivende stund vet vi ikke når Mozilla får rettet denne feilen, opplyser Beckmann Nilsen.
Mulige tiltak
– Fra sentralt BankID-hold ønsker vi ikke å slå av CSP-støtten totalt fordi det vil redusere sikkerheten for de brukere som benytter andre nettlesere enn Firefox, skriver Beckmann Nilsen. Omtrent 12 prosent av brukerne benytter Firefox.
I stedet oppfordrer BankID alle nettsteder som er berørt av det aktuelle problemet å endre sine applikasjoner slik at URL-ene kun inneholder små bokstaver. Ifølge Beckmann Nilsen var Skandiabanken ble de første til å melde inn problemet. Banken skal være i ferd med å rulle ut en slik løsning.
– For den enkelte sluttbruker er det et alternativ å benytte en annen nettleser inntil videre. Samtidig forbereder vi fra sentralt hold en løsning som gjør det mulig å midlertid slå av CSP-støtte for utvalgte nettleserversjoner. En slik løsninger er imidlertid ikke foretrukket framfor alternativene nevnt fordi det gir redusert sikkerhet for de nettleserene vi eventuelt benytter dette tiltaket på, skriver Beckmann Nilsen. Men han forteller til digi.no at dette er et beredsskapstiltak som kan bli satt inn dersom det skulle bli for mye støy, sett fra en brukervennlighetssynspunkt.
Saken har blitt oppdatert med BankIDs detaljerte beskrivelse av problemet.