Безопасна ли аутентификация потока на стороне клиента Facebook?

Question

Чтобы выполнить аутентификацию пользователя и авторизацию приложения в моем настольном приложении, я следую документации, приведенной на странице http://developers.facebook.com/docs/authentication/.

Вот что я делаю в своем приложении:

1. Создайте диалог со встроенным веб-браузером, перейдя по ссылке `http: // www.facebook.com/dialog/oauth?client_id=& scope = offline_access & redirect_uri = http://www.facebook.com/connect/login_success.html&response_type=token URL.

2. Если все идет хорошо (пользователь входит в систему и авторизует мое приложение), я извлекаю токен доступа из перенаправленного URL-адреса и сохраняю его, предполагая, что значениеполученный является долгоживущим токеном (обратите внимание на разрешение offline_access).

ВОПРОС 1: Означает ли это, что любой, кто узнает мой идентификатор приложения и токен доступа, может использовать эту информацию ненадлежащим образом?

Я имею в виду, что получить идентификатор приложения достаточно просто, учитывая, что мое приложение основано на .NET (Reflector кто-нибудь?).И получить доступ к токену, даже если я зашифрую его или что-то еще, невозможно.

ВОПРОС 2: Как бы я сделал весь этот процесс достаточно безопасным?

Answer 1

Да, я думаю, это может быть проблема безопасности; не с вашим приложением, а с самим Facebook. Даже если бы вы должны были зашифровать свой ключ, должен существовать метод, с помощью которого приложение расшифровывает ключ (например, ключ должен храниться где-то в приложении). Другая проблема, предполагая, что шифрование было совершенным и неразрывным, кто-то мог бы:
a) извлечь токен доступа из ОЗУ, пока он находится в пути;
b) возможно использовать программу-перехватчик SSL для создания поддельного сертификата и расшифровать токен доступа. Тем не мение; Какова вероятность того, что кто-то на самом деле это делает? Зачем им это делать?