J'ai fait ouvrir un rapport de bug pour Google Chrome (Chromium) concernant ce que je considère comme une faille de sécurité. Malheureusement le rapport n'est pas public mais je vais le résumer ici.
Les fenêtre d'authentification de Google Chrome ne sont pas de véritables popup mais des fenêtres qui s'affichent au dessus des pages-webs elles-même et ressemblent à cela :
J'ai donc créé une démonstration de la possibilité de simuler cette popup en DHTML (HTML/Javascript/CSS/...).
A noter que Chrome n'est pas le seul navigateur ayant ce genre de problème. Il serait bon que les développeurs trouvent un moyen fiable (et non imitable) pour les utilisateurs de savoir si une demande d'authentification vient du navigateur. Concernant mon rapport de bug, la réponse a été :
Still, it might be useful to start debate on a forum where multiple browser vendors
hang out such as whatwg@
Il ne me reste plus qu'à me motiver à le faire :)