Если кто-то «украл» мой идентификатор приложения Facebook, какой ущерб он может нанести?

Question

Я создал идентификатор приложения Facebook и назначил URL-адрес сайта «localhost», чтобы после проверки подлинности (через клиентский JavaScript) я перенаправлялся на свой локальный компьютер во время разработки приложения.

Мне любопытно узнать, есть ли какой-либо риск в этой настройке, в частности, что произойдет, если мой App ID был украден. Похоже, что худшее, что может случиться, это то, что кто-то еще может использовать мой идентификатор приложения со своим собственным приложением, размещенным на локальном компьютере, и заставить мое приложение превысить квоту использования Graph API и т. Д. Есть ли другие риски?

Answer 1

Не беспокойтесь.

Идентификатор приложения Facebook можно легко получить с любого сайта, использующего Facebook JS SDK.

О чем вам следует беспокоиться - это ваш app secret key

Answer 2

Я также думаю, что это рискованно, не для проблемы с локальным хостом (вы можете изменить его на другое, например, mylocal.develop, отобразить его в / etc / hosts и авторизовать это в Facebook, как я. Это работает.), но для подмены IP-адресов или подделки домена путем подделки заголовков (https://en.wikipedia.org/wiki/IP_address_spoofing)

Не уверен, можно ли избежать принудительного использования режима ssl в Facebook или чего-то подобного.