"Gratuites, des extensions installées sur Chrome envoient à des entreprises partenaire une copie intégrale de vos données de navigation, pour gagner une rémunération indirecte."

Même si ça peux paraitre casse couille, c'est pas avec le système de review pour les addons que ce genre d'abus peux arriver sur Firefox.
Je suis bien placé pour le savoir, je me suis fait rejeté ma version 2.0.0 de mon addon FreshRSS-Notify : https://github.com/purexo/FreshRSS-Notify/releases/tag/2.0.0 à cause de l'utilisation de .innerHTML dans mon code. (Ce qui pourrais impliquer différentes failles par ce biais, la source (ici du contenu de flux rss) pourrait très bien abrité un script js malicieux.)

En vrai, mon utilisation de innerHTML était consciente et voulue, simplement car dans mon cas, c'était réellement casse couille de manipuler du DOM, J'ai fini par m'en sortir, mais sanitizer et parser du html venant de l’extérieur n'est pas mince à faire avec l'AddonSDK.