2
クロムエクステンションを作成しています。認証のためにOAuth2クライアントサイドフローを使用する予定です。 GoogleとFacebookの両方の仕様に従って、クライアント側のフローを使用すると、redirect_uriのハッシュ部分の一部としてアクセストークンが取得されます。今私の質問はこれです - >不正な拡張機能がそのアクセストークンを他のマシンの別の拡張機能に転送し、そのアクセストークンを使用してユーザーの詳細を取得するとどうなりますか?私はWeb開発とOuathで非常に初心者です。誰かがこの疑いを明確にすることができれば分かります。クライアントサイドでセキュリティホールが発生する可能性があります。GoogleとFacebook用のOAuth2フロー
エクステンションがデータを別のサービスに渡す場合(ユーザーに知らなくても)、エクステンションは悪いものです。エクステンションが**ユーザーデータを知らずに** **そのエクステンションを共有している場合、エクステンションは悪いものです。明確にするには:**悪ではない** – Lix
@Lix申し訳ありませんが、私はあなたが私の質問を誤解したと思います。私は私の質問を更新しました。私は、アクセストークンにのみ依存するので、これはoauthクライアントサイドフローのセキュリティバグではありません。ランダムな拡張機能は、アクセストークンを他のマシンに転送することができます。そのようなことが起こるかどうかは疑問だっただけで、それを実装する意思は一切ありませんでした。 –
これで少しクリアされます。私は彼らがどのように構造化され、どのように彼らがお互いに通信することができるかについての知識がないので、私は拡張の性質の100%ではありません。問題の拡張機能に、いくつかのアクションを実行するバックエンドサーバーがある場合、その拡張機能は機密データを所持している必要はないかもしれません。 – Lix