Q 1 e 2.
Cada extensão é diferente e única, programada por pessoas diferentes com morales / habilidades diferentes, etc. A resposta é sim, um plug-in poderia potencialmente ler seus dados (independentemente de ser HTTPS) ou detalhes de senha, etc, se isso acontece ou não, é diferente importam! É o mesmo problema realmente com a instalação de qualquer coisa (software, plug in, app no seu telefone, etc). É todo o software com acesso à sua máquina desde que você a colocou lá.
Q 3
Uma janela pop-up é o seu navegador, então provavelmente tem exatamente as mesmas extensões / plug-ins (a menos que alguns sejam automaticamente desativados em determinados critérios).
Q 4
Se você está fazendo serviços bancários on-line, então sim, provavelmente é uma boa idéia ter uma instalação baunilha ou deixar seu AV cuidar disso!
Cabe ao navegador o que ele faz em relação aos plugins. Tenho certeza que alguns deixam para o usuário (você instalou, o seu risco), outros podem monitorá-lo ... Ou, pode haver um plugin que monitora plugins que seriam úteis (desde que seja confiável, é claro :))
Naturalmente, não são apenas plugins em que são motivo de preocupação, os registradores de pressionamento de tecla, etc. podem nem mesmo fazer parte do navegador e podem capturar essas informações.
Eu acho que a regra geral que eu tenho é, se a extensão é bem conhecida, então é provavelmente confiança digna ... Por que um respeitável faria algo ilegalmente, isso arruinaria sua reputação etc. tenho extensões que lembram meus detalhes de senha e isso não me incomoda, mas quando eu faço serviços bancários on-line, eu tenho Kasperksy executando 'Dinheiro Seguro' para me dar mais tranquilidade.