Здравствуйте, rudzuk, Вы писали:
R>Да ты не в rfc тыкай, а расскажи, о какой безопасно ты ведешь речь, допуская ситуацию с поддельным окном логина на десктопе. Очень интересно.
Всё элементарно: допустим, я написал мега-приложение, которое помогает произвольному пользователю Альфа-Банка оптимизировать его расходы.
Приложение обещает подключиться к банку под кредами пользователя, вынуть историю транзакций, а потом при помощи Продвинутого ИИ указать пользователю пять простых мер, которые позволят ему на 20-30% сократить ежемесячные расходы.
Пользователь качает приложение, нажимает на кнопку "авторизоваться", после чего приложение показывает ему окно с инпутами логина/пароля.
(Глупый) пользователь вводит туда логин и пароль, после чего обнаруживает обнуление счёта злоумышленниками.
(Пугливый) пользователь не доверяет левому приложению, которое спрашивает у него сокровенное, и выбрасывает приложение на помойку.

Авторизация через браузер позволяет пугливому пользователю наглядно убедиться, что авторизация проходит через альфабанк, и никакие сторонние негодяи не получают его креды; так что MITM-атака невозможна.
При этом процесс авторизации ещё и позволяет бдительному пользователю посмотреть на список разрешений, запрошенных приложением. И, в частности, отсутствие разрешения на выполнение переводов от имени пользователя.
А если пользователь это проморгает, и приложение спишет чужие деньги, то после первого же обращения в саппорт это приложение будет забанено альфа-банком вместе с партнёрским аккаунтом владельцев приложения.

В целом схема понятна?