Petit rappel : gPass est un gestionnaire de mot de passes en ligne. C'est une alternative libre à lastpass. Il permet d'héberger un serveur de mot de passe, qui stockera un mot de passe fort et unique pour chaque site web. Les mots de passes sont chiffrés par une "clé maître" que seul l'utilisateur connaît et sont remplacés à la volée dans le formulaire d'authentification.

Bonne nouvelle ! La version 0.9 de gPass a été validée par l'équipe de Chrome (j'attendais une notification par mail, mais il ont fait ça en douce !). Cette version aurait du sortir plus tôt, mais plein de petites fonctionnalités sont venues se greffer.

Quelles sont les nouveautés ?

Tout d'abord, derrière le rideau, avec une ré architecture du code. Désormais, l'ensemble du code se situe dans la page d'arrière plan (background.js) et les fonctions sont appelées via l'échange de messages.

Ensuite, il y a eu des changements plus visibles. La partie la plus intéressante se situe dans l'ajout d'un popup (en cliquant sur l'icône gPass en haut à droite), qui permet de faire une requête au serveur de mot de passe en de hors du formulaire courant. Ainsi, si du code malveillant est intégré à la page web que l'on visite, il ne verra jamais transiter la clé maître. Dans la mesure du possible, le champ "nom d'utilisateur" du popup est rempli automatiquement avec la valeur contenu du formulaire cible. Si cela est possible, une fois que le mot de passe est récupéré, il est directement injecté dans le formulaire, lui même automatiquement validé (sauf à utiliser le préfixe @_). Si ce n'est pas possible, il est copié dans le presse-papier.

Fonctionnalité simple, mais très utilise lorsque l'on souhaite ajouter une nouvelle entrée dans le serveur de mot de passe, le popup crée automatiquement un lien vers l'adresse de notre serveur avec le nom de domaine courant et (si disponible), le nom d'utilisateur.

Ensuite, toujours dans l'objectif d'améliorer la sécurité quant à la fuite de la clé maître, l'icône de gPass devient verte lorsque l'extension est capable de gérer le champs "mot de passe" du formulaire courant, lorsque celui-ci obtient le focus, sinon elle reste jaune.

Finalement, deux entrées ont été ajoutées au menu contextuel de l'icône : les paramètres de l'extension et la possibilité d'activer/désactiver l'extension pour le site web courant (doit être paramétré pour chaque navigateur).

Les addons sont disponibles ici (firefox) et là (Chrome). La partie serveur est à télécharger sur la page du projet, elle doit être mise à jour.