Estoy leyendo sobre Facebook Connect y se parece mucho a < a href="http://openid.net/connect/"> OpenID Connect . ¿Son estos dos lo suficientemente similares como para que la clave secreta de Facebook Connect sea un OAuth Client Secret y por lo tanto se aplican los mismos ataques ?
O dicho de otra manera, ¿qué podría hacer un atacante si robara una clave secreta de Facebook Connect de una aplicación web?
(edite: este es el token en cuestión )
Esto depende de a qué clave te refieres como "clave secreta":
La clave secreta de la aplicación, o secreto de la aplicación , le permite generar un token de acceso a la aplicación. Con este token de acceso, tiene acceso completo al objeto de aplicación Graph API . Un atacante que obtenga el secreto de su aplicación podría cambiar todas las configuraciones desde el panel de su aplicación. Definitivamente no debe dejar que este token salga de sus servidores protegidos.
Los tokens de acceso que se otorgan a sus usuarios después de la autenticación pueden permitir que un atacante consulte la API de Graph de la misma manera que su aplicación. Facebook no sabría la diferencia. El posible impacto de tal ataque dependería de los permisos que requiera su aplicación.
Cuando se accede a una aplicación mediante Facebook, se asocia un token de acceso con el usuario. Este token de acceso permite que la aplicación tenga privilegios de nivel de acceso al perfil del usuario. Si este token de acceso es robado, se puede utilizar para publicar contenidos en el perfil del usuario sin su consentimiento.