Zu 1.: Wenn eine Website für ein Add-On einmal als "vertrauenswürdig" deklariert ist (und das ist bei den Add-Ons auf einigen mozilla-nahen Seiten automatisch der Fall), hängt die "Sicherheit" des Add-Ons nur noch am Maintainer. (Wie bei ActiveX eben, nur dass es bei ActiveX i.d.R. keine automatischen Updates gibt, für die man bestimmte Source-Hosts komplett als "vertrauenswürdig" freigeben *muss.*) Eine inhaltliche Überprüfung von Add-Ons findet meines Wissens bei Add-On-Updates nicht statt. (Insofern meine Vermutung, dass früher oder später jemand mal "einfach so" ein Osterei oder gar einen Wurm in ein populäres Add-On einbauen wird.) (BTW: wer ist eigentlich für die sehr seltsame Umbenennung von "Erweiterungen" in "Add-Ons" verantwortlich? Im Firefox-Menü steht sogar: "Add-ons", d.h. auch noch mit einem kleinem "o" ?!)

Zu 2.: Client-seitige Speicherung ist kein W3C-Standard, sondern eine Idee der informellen WHATWG-Gruppe (http://www.whatwg.org). Und (leider) einer der weniger gut durchdachten Ideen der WHATWG (die ansonsten einige äußerst interessante experimentelle Ideen hat, deren unmittelbarer Reifegrad aber sehr kontrovers gesehen wird, wie z.B. HTML5).