La pregunta es para que la comunidad de seguridad resuelva algunos malentendidos aquí .
El quid:
- La compañía (Wire) tiene un cliente (official-client.com) y un código de servidor (por ejemplo, official-server.com).
- CORS actualmente permite que official-client.com acceda a official-server.com, pero unofficial-client.com no tiene acceso a official-server.com
- El código para el cliente oficial está disponible para su reutilización para aplicaciones personalizadas (supuestamente, para alojar en unofficial-client.com)
El caso de uso aquí es sencillo: exponer los servicios de API autentificados a otros. Y la definición de "otros" está configurada actualmente como "official-client.com" solamente.
Pregunta: ¿Qué beneficio hay al no tener?
Access-Control-Allow-Origin: *
Para citar otro artículo , parece que la aplicación no es tan segura si se basa en su seguridad al restringir el acceso de recursos a un dominio (ya que el dominio puede ser falsificado con DNS / hosts locales). Pero ese no es realmente el problema.
¿Qué me estoy perdiendo?