<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Jul 26, 2014 at 8:03 AM, Lodewijk andré de la porte <span dir="ltr"><<a href="mailto:l@odewijk.nl" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=l@odewijk.nl&cc=&bcc=&su=&body=','_blank');return false;">l@odewijk.nl</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>Is surprisingly often passed around as if it is the end-all to the idea of client side JS crypto.</div>



<div><br></div><div>TL;DR: It's a fantastic load of horse crap, mixed in with some extremely generalized cryptography issues that most people never thought about before that do not harm JS crypto at all.</div></div></blockquote>

<div><br></div><div>What's in the Matasano article is common sense advice. It may seem elementary for some. But you'd be surprised how many sites fit the pattern the Matasano post describes, arguing that they can provide *better* security by serving JavaScript crypto code over easily-MitMed plaintext HTTP.</div>

<div><br></div><div>Here are a couple offenders...</div><div><br></div><div>#3 Google search result for "encrypted chat":</div><div><br></div><div><a href="http://www.chatcrypt.com/">http://www.chatcrypt.com/</a><br>

</div></div><div><br></div><div>Not popular by Google results, but a similarly silly effort:</div><div><br></div><div><a href="http://www.peersm.com/">http://www.peersm.com/</a></div><div><br></div>-- <br>Tony Arcieri<br>


</div></div>