Principes
- Pas de code distant execute par l'extension.
- Validation runtime des payloads externes avant stockage ou injection.
- Service worker idempotent, resumable, adapte aux contraintes MV3.
- Isolation stricte par compte local detecte.
Securite
Modele de securite
Les limites publiques doivent rester simples : validation aux frontieres, aucun code distant, et separation stricte entre YouTube, le navigateur et le serveur YASE.
SVG et assets distants
Les SVG, manifests et catalogues distants doivent etre declaratifs, limites et sanitises avant stockage ou injection. Les catalogues ne sont pas une voie pour envoyer du JavaScript, du CSS arbitraire ou des commandes a l'extension.
Tokens et sessions
Les content scripts ne recoivent pas de tokens YASE, Google ou YouTube. Les appels serveur appartiennent au service worker ou a une UI extension explicitement autorisee.
Disclosure
Ajouter ici un canal officiel de disclosure avant lancement public. Les rapports de vulnerabilite doivent eviter les secrets et inclure les etapes de reproduction minimales.