[Gestionnaire de mot de passe] Besoin de testeur en sécurité

[srm]

D'une ça nécessiterait que tous les sites fassent ça.
De deux ça n'empêchera pas qu'un script malicieux qui a été injecté sur le site vole ton mot de passe.

[Xenos]

C'est vrai pour le 1er point. Pour le second... L'injection peut se faire également soit dans le plugin soit dans le site :p
Mais c'est vrai que pour éviter l'injection en question, le mieux serait d'avoir un standard implémenté dans les navigateurs eux-mêmes, et pas dans le code du site.

Bon courage pour trouver tes failles

[srm]

Ah bon ?
Et bien essaye de faire une injection dans mon plugin

[Xenos]

Ton plugin est tout nouveau, l'injection peut se faire lors du choix du plugin à installer, surtout si le plugin en question n'est pas "directement" lisible (aka, compilé). Ok, tu diffuse des sources, mais qu'est ce qui assure que la source diffusée correspond au code compilé du plugin?
Ceux qui installent le plugin te font confiance, ok, mais un "faux oxman" pourrait très bien sortir un plugin vérolé, c'est en cela que j'entends le terme "injection".

[srm]

Le plugin une fois terminée sera sur le store officiel des Chrome extension.
C'est le seul moyen maintenant de permettre l'installation d'une extension Chrome facilement (sinon il faut faire pas mal de manipulation).
Par conséquent, il ne peut pas y avoir le soucis dont tu parles.

Puisque le site officiel renverra sur la page de l'extension du store Chrome extension.
Si quelqu'un installe une autre extension que celle-ci, ça sera en son âme et conscience.

[srm]

Merci pour votre aide.
Pour la peine je suis en train de coder un autre système de gestion de mot de passe

[Etienne]

tiens nous au courant, ça m’intéresse grandement =)

[srm]

Il va être plus conventionnel
Le principe :
Un login et un mot de passe, une passphrase, une yubikey.

Les mots de passe seront stocké sur le serveur et encrypté avec la passphrase qui ne sera stocké nul part, le décryptage se fera côté client (un peu à la passpack donc)
Mais pour remplir son mot de passe sur un site, il y aura une extension ou un bookmarklet, qui permet d'utiliser sa yubikey pour automatiquement demander le mot de passe du site et le remplir.

[vol-au-vent]

Je ne fait jamais confiance à ce type d'outil car même si j'ouvre la console pour vérifier si aucune donnée est envoyé à un serveur il est possible via node.js par exemple de transférer des données sans que le client ne s'en aperçoive !

[niahoo]

Tu veux dire que le site sur lequel tu t'inscris peut envoyer tes infos à des tiers ?? ... ben évidemment. Maintenant si c'est une clé unique que tu leur file ça les limite beaucoup.