OAuth basado en JavaScript expone el ID de cliente de la aplicación y confía solo en el dominio que solicita el token de acceso. El nombre de dominio se puede falsificar con un secuestro de DNS (o un virus que afecta a /etc/hosts
). Entonces, ¿por qué es compatible con OAuth basado en JavaScript, Facebook, para los clientes que no usan HTTPS? ¿O me estoy perdiendo algo?