@Links from tsyr2ko's wandering > le hollandais volant 12/02/2015
Je fais un fork de µBlock avec des fonctionnalités supplémentaires et spécifiques à Firefox.

Je décide de la diffuser via mon propre site et pas sur la plateforme addons.mozilla.org
Sans diffuser publiquement le code source (obligation de dézipper, etc ...)

Forcément, pour bien faire mon travail, l'extension est obligé d'analyser tout le trafic, tout les sites que les utilisateurs de mon extension visitent. Sauf que je n'ai dis à personne que je recueillais des données sur ledit trafic et que personne ne s'en rend compte. Cool pour moi qui vais pouvoir le revendre.

Et ça, ni vu ni connu pendant un moment avant qu'on décompile l'extension.

Avec la validation par Mozilla, ça n'arriverait pas.

Autre cas: je veux infecter le pc de X. Je lui dis de tester ma nouvelle extension pour tel ou tel fonctions dont X a besoin. J'ai greffé sur l'extension officielle un code pour (remplacer ici toute action malveillante). Et voilà.

Après, oui, le fait de pouvoir installer facilement une extension était pratique, mais c'est aussi un problème de sécurité. Selon moi, ils feront comme souvent, un flag dans about:config pour désactiver cette interdiction.
(Permalink)