Каков риск публикации client_secret.json в публичном репо?

Question

У меня есть скрипт Python, который записывает данные в общедоступный файл листов Google, и для использования API листов Google мне нужно, чтобы пользователь авторизовал мой скрипт.Я хочу поделиться сценарием с другими, и, таким образом, я планирую также поделиться client_secret.json, но я изо всех сил пытаюсь понять риски безопасности, связанные с этим.

Насколько я понимаю, OAuth2, предоставляя client_secret.json, мой скрипт аутентифицирует себя, а затем пользователь авторизует скрипт для записи данных от имени пользователя, верно?

Таким образом, я прав?, что худшее, что может случиться, когда я поделюсь файлом client_secret.json, заключается в том, что кто-то воспользуется моим сервисом для записи данных в таблицы (только свои собственные или в публичные) с использованием квоты моего сценария?

Answer 1

Как заявил пользователь @thehowch и, насколько я понимаю, вся процедура, основной риск совместного использования client_secret.json заключается в том, что он открывает вектор атаки для фишинговых атак, поскольку кто-то может просто скопировать client_secret и затем представить себя.как заслуживающий доверия орган, в котором пользователи передают свои разрешения и, таким образом, открывают злоумышленнику свой диск google.

Кроме того, использование квот API Google будет зарегистрировано в учетной записи проекта google, которая обладает client_secret.Таким образом, злоумышленник может просто заблокировать наше использование, исчерпав квоту.Конечно, этот риск ничто по сравнению с фишинг-атакой.Просто как побочный узел ради полноты.