Esto es principalmente seguro.
Para interceptar el tráfico de localhost, un atacante necesitaría privilegios de root y en este punto ya perdió porque el atacante también puede leer y modificar la memoria a voluntad. Ninguna criptografía lo ayudará, ya que el atacante obtendrá sus datos confidenciales directamente. fuera de la memoria.
El único problema que veo es que no puedes probar que es realmente tu aplicación con la que estás hablando. ¿Qué sucede si otra aplicación inicia repentinamente un servidor en el mismo puerto? Para mitigar esto, necesitaría generar una clave y un certificado autofirmado en la primera ejecución de la aplicación, y hacer que cualquier otro navegador / aplicación que habla con esa primera aplicación confíe en el certificado. Si alguna aplicación maliciosa inicia un servidor en el mismo puerto, no podría suplantar su aplicación real.
Finalmente, esto parece ser una forma burda de hacer IPC entre aplicaciones. ¿Por qué no confiar en lo que el sistema operativo ya ofrece como Grupos de aplicaciones? Si eres el desarrollador de ambas aplicaciones, puedes hacer que compartan el mismo grupo para que tengan alguna forma de hacer IPC así como tener almacenamiento compartido:
Use grupos de aplicaciones para permitir el acceso de múltiples aplicaciones a contenedores compartidos y permitir la comunicación adicional entre procesos entre las aplicaciones. Para habilitar grupos de aplicaciones, en el panel de Capacidades, haga clic en el interruptor en la sección Grupos de aplicaciones. Puede seleccionar grupos de aplicaciones existentes de la tabla o agregar grupos de aplicaciones.