<div dir="ltr">I can't think of a way to do phishing with oauth2, doesn't mean it can't be done somehow :)<div><br></div><div>Basically because you have to configure the redirect when you setup the client_secret the server will only ever send the browser to that redirect, a mismatch of requested redirect will just cause an error on Google Apps for example.</div><div><br></div><div>Lets say this app has a redirect to localhost:1234/oauth set up during credentials creation on the oauth server.</div><div>Then if you could get some malicious code to run at that host:port then you could get the access token that the oauth server would think it is sending to this app.</div><div><br></div><div>So yes letting everyone know your client_secret is dodgy, but actually getting hacked because of it seems highly unlikely.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 23, 2015 at 4:51 PM, Nick Sabalausky via Digitalmars-d-announce <span dir="ltr"><<a href="mailto:digitalmars-d-announce@puremagic.com" target="_blank">digitalmars-d-announce@puremagic.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 09/23/2015 08:38 AM, Rory McGuire via Digitalmars-d-announce wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Problem is right now anyone can make an app and pretend its your app, and<br>
then ...<br>
<br>
If the user gives your keys access to their stuff so does anyone else who<br>
has your keys, if they can get the oauth2 redirect to redirect to a<br>
matching url at least.<br>
<br>
</blockquote>
<br></span>
Isn't oauth/openid just kindof a big bundle of such phishing problems anyway?<br>
<br>
</blockquote></div><br></div>