«От входа через OAuth до захвата вашего аккаунта» – десктопная версия приложения

[Myateznik]

Я может быть чего-то не понимаю, но описанная схема входа буквально выглядит как OAuth Device Authorization Flow. Только пуллинг заменили на WebSocket. Нет тут конечно есть кастомизация и отхождение, но всё же атака вида "скинуть ссылку с user code жертве" буквально также работает и в классическом Device Flow. Ну и ряд рекомендаций плюс минус ровно то, что нужно соблюдать при опять же Device Flow.