Lu sur le blog d’O'reilly, un article très interressant concernant la sécurité de la nouvelle extension Anti Phishing de Google pour FireFox.

"Il y a 2 choses qui me dérangent dans cette extension:

1) Chaque requête envoyée à Google via HTTP, l’est en texte clair (non encrypté).  Je m’explique: Imaginez un site web qui encrypte la session avec SSL. Si le site envoie des informations personnelles sur vous via une requete GET (exemple: un numéro de carte de crédit), cela sera transmis en clair au site http://www.google.com/safebrowsing/lookup, permettant ainsi à quelqu’un de situé sur votre réseau ou alors sur un routeur entre vous et Google, de sniffer cette information.

2) L’extension Firefox  envoie la requete entière GET à Google. Si le site transmet des informations personnelles via le paramètre GET, tout cela sera transmis à Google."

La suite ici…

et l’extension est ici