L'estensione di mega che hai portato come esempio è un po' particolare, sul sito ufficiale c'è un whitepaper per la sicurezza in pdf. In pratica tutto il webclient presente su mega.nz è incluso nell'estensione ciò significa che è più sicuro anche nel caso in cui il sito ufficiale venisse compromesso (stili e script non vengono chiesti al server remoto tramite HTTPS perché sono già in locale). Tuttavia leggendo il codice vedo che salva cookie e cose nel session/localstorage proprio come il client ufficiale, puoi consulare il loro repo ufficiale github. Quindi alla fine dei giochi non si può fare man-in-the-middle o attacchi simili però un malware nel tuo pc può sempre rubare cookie e storage dal browser e reinserirli in un altro browser di proprietà dell'attaccante, il che gli garantisce accesso all'account finché non premi il tasto di logout nell'estensione.