Si un usuario o atacante tiene un token de actualización, entonces pueden solicitan un token de acceso y luego acceden a cualquier recurso protegido. Esta es la definición de tokens de actualización / acceso. También tendrían acceso durante todo el año, aunque incluso si solo lo tuvieran por un día, podrían hacer el mismo daño. Incluso con tiempos de vencimiento muy cortos, si pudieran obtener un token en primer lugar, podrían replicar lo que hicieron la primera vez para obtener más tokens.
Ahora, ¿alguien puede obtener el token de actualización? No a menos que su computadora ya esté comprometida. Lo más probable es que ADFS lo bloquee de forma remota mediante métodos de cookies seguras / solo HTTP, lo que obligará a que se transmitan a través de una conexión cifrada y evitará fugas de JS (las plataformas que no sean web tendrán protecciones similares). Si alguien puede acceder físicamente a la computadora y ver la cookie, entonces de todos modos es mejor que solo descarguen un keylogger.