誰かが私のアプリを手にするとどうなりますか？

Question

こちらのドキュメント（http://developers.facebook.com/docs/authentication/）によると、アプリの秘密は共有すべきではありません。

アプリの秘密は、開発者のアプリケーションから利用可能であり、 誰とでも共有したり、 （あなたは、クライアント側のフローを使用する必要がありますを配布する任意のコードに埋め込むべきではありませんこれらのシナリオでは）。

なぜですか？誤って、あるいは公に共有されている場合は、これが悪用される可能性がありますか？

これが発生する場合、どのような懸念がありますか？誰かがこの情報で何をすることができますか？

私は、認証プロセスの一部とみなされたサイトのURLで保護されると思いますか？

ありがとうございます。

Answer 1

キャンバスURLは、Facebook APIに対するリクエストの確認には使用されません。悪意のあるユーザーは、自分のアプリケーションの秘密情報を使用する独自のアプリケーションを作成して、アプリケーションのセキュリティ権限でセッションを取得することができます。これにより、攻撃者は、ユーザーがあなたのアプリケーションのアクセスを許可したすべてのデータを盗み出し、ユーザーがあなたのアプリの実行を許可したすべてのアクション（ウォールポストなど）を実行できます。