<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 17, 2015 at 11:56 AM, Ron Garret <span dir="ltr"><<a href="mailto:ron@flownet.com" target="_blank">ron@flownet.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">The fact that to use PGP you have to install an application.  (This is true for Peerio as well.)  That turns out to be too much friction for most people.  Whenever you have to install an application you have to decide whether or not you trust the application, and most people have no basis for making that assessment. </blockquote><div><br></div><div>Why should anyone trust your web page? Do you expect people to audit the source code every time they use it? If they don't, perhaps you made a change which exfiltrates the plaintext to your personal server. Perhaps you targeted a single person, and everyone else sees the "real version"</div><div><br></div><div>This is why web pages aren't trustworthy for cryptographic purposes.</div><div><br></div><div>I wrote a blog post on this topic:</div><div><br></div><div><a href="http://tonyarcieri.com/whats-wrong-with-webcrypto">http://tonyarcieri.com/whats-wrong-with-webcrypto</a> </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>