Перейди на демо сайт введи данные в форму. Открой консоль (ctrl-shift-i) в хроме и фф. Выбери вкладку Network (сеть) поставь xhr. Смотри, делай выводы. Запрос к самой бирже даже если перехватить особо ничего с ним не сделаешь, там шифруются данные необратимым методом... а вот запросы к апи лично меня напрягают.
Правильно я понимаю, что данные запросов из апи можно перехватить из соседней вкладки браузера?
Эм нет.
Но запросы к апи тем не менее можно перехватить. Как сам автор пишет. На
https://github.com/savinkirillnick/JBOTДля работы кода, вам необходим сервер с настроенным php и в частности обязательным расширением curl_php
PHP интерпретируемый язык. Т.е для того что бы код на нем отрабатывал должна быть программа которая как бы объяснить что надо делать. Т.е обращаясь к php файлику, вы обращаетесь к интерпретору (через fastcgi на пример если используете Nginx как сервер).
Что получается дальше. как видно из xhr запроса, секретки в явном виде передаются, что как бы говорит серверу, вот тебе параметры, выполни как мне с ними вон тот скрипт. Сервер проверяет что есть ли вообще разрешение трогать файл, передает данные через транспорт интерпретатору, то честно выполняет свою задачу, отдаёт данные обратно серверу, а тот запросившему (ну или ошибку).
Вроде все просто. Вот только ваш запрос может быть залогирован. Т.е у вас есть файлик с вашем запросом с ключом в открытом виде. А вот спереть лог уже просто.
Кстати те кто юзал демо сайт вполне могли оставить свои ключи в логах сервера автора.
Это пример до ужаса высосаный из пальца.
Про куку хранящуюсь в браузере я уже писал выше. Запрос не просто передается в открытом виде... он еще и сохраняется в куках браузера, которые тоже не являются самым надежным хранилищем.