Gracias. Acabo de leerla y me ha quedado mas claro, pero tu aplicación no resuelve el problema del hackeo de pordede (ninguna aplicación externa puede) y tiene varias lagunas que no se explican. A ver si me las puedes resolver:
La extensión chrome busca dentro de la página que el usuario está visionando los campos de formulario que indiquen la presencia de un formulario con login y password.
¿Esta extensión solo hace un mapping de la página para buscar el login o es capaz de reconocer si está ante un phishing? Ya que el usuario no se daría cuenta de que es una página falsa y la aplicación podría dar luz verde al pulsar la extensión y provocar el robo de la cuenta.
El protocolo asume que el token usado para encriptar la clave solo es conocido por la extensión
Esto es un problema, pues ya tienes dos tokens en lugar de solo uno (el del navegador y el de la extensión).
Y repito, tu aplicación no resuelve el problema de esta noticia, pues es un acceso a la base de datos del servicio, aquí tu aplicación no interviene.
Perdón por el tocho y espero agradecido las respuestas.