Возможная дыра в безопасности на стороне клиента OAuth2 для Google и Facebook

Question

Я создаю расширение Chrome, где планирую использовать клиентский поток OAuth2 для аутентификации.Согласно спецификациям для Google и Facebook, когда я использую поток на стороне клиента, я получаю токен доступа как часть хеш-функции redirect_uri.Теперь мой вопрос заключается в следующем:> что если мошенническое расширение передает этот токен доступа другому расширению на другом компьютере, который затем использует этот токен доступа для получения сведений о пользователе?Я довольно новичок в веб-разработке и оутах и ​​был бы признателен, если бы кто-то смог прояснить мне это сомнение

Answer 1

Расширения Chrome помещаются в «песочницу», и данные, сохраненные в вашем расширении, не могут быть доступны для другого расширения.

Answer 2

Да, расширения Chrome имеют возможность прослушивать ваши пароли, токены OAuth и т. Д., Если пользователь выбирает их установку и предоставляет им разрешения для этого. Вы должны быть осторожны, с какими расширениями вы хотите установить!

Answer 3

Реализация OAuth2 в Facebook требует, чтобы вы использовали SSL (https), что означает, что другие люди не смогут увидеть этот токен, если вы явно не передадите его им вне самого браузера (или, как уже отмечалось, используете злой плагин).

На эту тему есть отличный пост: http://www.sociallipstick.com/?p=239