Sto leggendo su Facebook Connect e sembra molto simile a < a href="http://openid.net/connect/"> OpenID Connect . Sono abbastanza simili questi due che la chiave segreta di Facebook Connect è un OAuth Client Secret e quindi si applicano gli stessi attacchi ?
In altre parole, cosa potrebbe fare un utente malintenzionato se rubasse una chiave segreta di Facebook Connect da un'applicazione Web?
(modifica: questo è il token in questione )
Dipende dalla chiave a cui si sta riferendo come "chiave segreta":
La chiave segreta dell'applicazione o segreto dell'app consente di generare un token di accesso all'applicazione. Con questo token di accesso, hai pieno accesso all'oggetto oggetto grafico Graph . Un utente malintenzionato che ottiene il segreto dell'app potrebbe modificare tutte le impostazioni dalla dashboard dell'app. Non devi assolutamente lasciare che questo token lasci i tuoi server protetti.
I token di accesso concessi ai tuoi utenti dopo l'autenticazione possono consentire a un utente malintenzionato di eseguire query sull'API grafico nello stesso modo in cui può farlo l'app. Facebook non conoscerebbe la differenza. Il possibile impatto di un simile attacco dipenderà dalle autorizzazioni richieste dalla tua app.
Quando si accede a un'applicazione utilizzando Facebook, un token di accesso è associato all'utente. Questo token di accesso consente all'app di avere il privilegio del livello di accesso al profilo dell'utente. Se questo token di accesso viene rubato, può essere utilizzato per pubblicare contenuti sul profilo dell'utente senza il suo consenso.