Lu sur le blog d’O’reilly, un article très interressant concernant la sécurité de la nouvelle extension Anti Phishing de Google pour FireFox.
"Il y a 2 choses qui me dérangent dans cette extension:
1) Chaque requête envoyée à Google via HTTP, l’est en texte clair (non encrypté). Je m’explique: Imaginez un site web qui encrypte la session avec SSL. Si le site envoie des informations personnelles sur vous via une requete GET (exemple: un numéro de carte de crédit), cela sera transmis en clair au site http://www.google.com/safebrowsing/lookup, permettant ainsi à quelqu’un de situé sur votre réseau ou alors sur un routeur entre vous et Google, de sniffer cette information.
2) L’extension Firefox envoie la requete entière GET à Google. Si le site transmet des informations personnelles via le paramètre GET, tout cela sera transmis à Google."