Dado en OAuth 2.0 o en alguna otra aplicación web o incluso en el servidor de API REST. ¿Cómo protegería a los usuarios de utilizar un cliente malicioso o un navegador comprometido?
Para OAuth, el secreto del cliente se puede colocar en una aplicación existente y extraer Riesgo de mantener OAuth2 client_secret en la aplicación
Incluso con el uso de redirect_uri, el cliente malintencionado puede simplemente tomarlo y redirigirlo a su propio sitio.
Con una aplicación web normal, un token XSRF aún se genera en el servidor y se pasa al cliente y el usuario aún puede ingresar sus credenciales.
Un cliente comprometido también puede ignorar las comprobaciones de CORS y enviar lo que quiera como el encabezado Origin
.
Me inclino hacia que la única prevención es avisar a los usuarios que se aseguren de obtener sus clientes / aplicaciones / navegadores de fuentes confiables y no es algo que se pueda abordar técnicamente.