Estoy leyendo sobre Facebook Connect y se parece mucho a < a href="http://openid.net/connect/"> OpenID Connect . ¿Son estos dos lo suficientemente similares como para que la clave secreta de Facebook Connect sea un OAuth Client Secret y por lo tanto se aplican los mismos ataques ?
O dicho de otra manera, ¿qué podría hacer un atacante si robara una clave secreta de Facebook Connect de una aplicación web?
(edite: este es el token en cuestión )