2
Я создаю расширение chrome, где я планирую использовать поток клиентской стороны OAuth2 для аутентификации. Согласно спецификациям для google и facebook, когда я использую поток на стороне клиента, я получаю токен доступа как часть хэш-части redirect_uri. Теперь мой вопрос заключается в следующем:> что, если расширение-изгои передает этот токен доступа другому расширению на какой-либо другой машине, который затем использует этот токен доступа для получения сведений о пользователе? Я довольно новичок в разработке веб-сайтов и приветствую вас, если бы кто-то мог прояснить это сомнение для меняВозможная дыра безопасности на стороне клиента OAuth2 поток для Google и Facebook
Если ваши расширения передают данные другой службе (без знания пользователей), ваше расширение является злым. Если ваше расширение использует ** любые ** пользовательские данные, если пользователь не знает об этом, ваше расширение является злым. Чтобы уточнить: ** не злой ** – Lix
@ Lix извините, я думаю, вы неправильно поняли мой вопрос. Я обновил свой вопрос. то, что я хотел спросить, это не ошибка безопасности в потоке клиентской стороны oauth, поскольку она зависит только от токенов доступа. Случайное расширение может передавать токены доступа другим машинам, которые могли бы использовать его для получения моих данных без моего ведома. Мне просто интересно, может ли такое произойти или нет, и никоим образом не собиралось его реализовывать. –
Хорошо, это немного очищает. Я не 100% уверен в характере расширения, так как я не знаю, как они структурированы и как они могут общаться друг с другом. Если это расширение имеет серверный сервер, выполняющий некоторые действия, то, возможно, для расширения каких-либо конфиденциальных данных может не потребоваться расширение. – Lix