Je crois que j'ai compris: je suis pas dev donc je peux me planter, mais je pense que c'est lié aux en-têtes envoyées par le script sur la page JSON qui contiennent le MDP sous une forme à priori facilement réversible.
C'est une bonne chose que XaT l'ai vu au final.
PJ, fais attention à ce que tu fais, surtout avec les MDP des autres
Je trouve d'ailleurs pas ça du tout rassurant qu'une script (et donc une extension) puisse non-seulement récupérer un mot de passe mais encore l'envoyer sur un serveur distant, le tout sans aucune alerte du navigateur !
Ou alors c'est HFR qui est troué ?
Message édité par Profil supprimé le 29-07-2019 à 19:43:35