Если вы про чат, то там в ссылке содержится ID а не ключ. Если про сообщения или файлы, ничто не мешает скинуть ссылку через скайп а ключ смс например. К тому же сообщения самоуничтожающиеся, т.е. прочитать можно только один раз.
Тут не поспоришь, проверять JavaScript каждый раз затруднительно. Единственное что могу возразить, если начнет отдаваться другой код, рано или поздно кто-то из пользователей это заметит и сервис будет скомпрометирован.
Cryptocat требует устанавливать расширение, насколько мне известно. Значит и собеседнику нужно объснять что это и просить установить. В случае с Otr.to нужно просто скинуть ссылку.
При большом желании можно посмотреть какую информацию, в каком виде и куда отправляет браузер.
По поводу реализации OTR- используется github.com/arlolra/otr целосноность ее можно проверить.
При большом желании можно посмотреть какую информацию, в каком виде и куда отправляет браузер.
По поводу реализации OTR- используется github.com/arlolra/otr целосноность ее можно проверить.