Okay, there is ONE attack vector that I can see.  He&#39;s not using HTTPS, so a MITM attack at the router level on an open network (like Noisebridge&#39;s) could intercept and replace the Javascript with something nasty.<div>

<br></div><div>So, use a VPN if you&#39;re at Noisebridge, using a straight HTTP site, and want privacy.  Otherwise assume everyone can read everything.</div><div><br></div><div><a href="http://webapp-hardening.heroku.com/no_ssl">http://webapp-hardening.heroku.com/no_ssl</a></div>

<div><a href="http://howsecureismypassword.net/privacy/">http://howsecureismypassword.net/privacy/</a></div><div><br></div><div>Will.<br><br><div class="gmail_quote">On Tue, Apr 3, 2012 at 6:44 PM, Will Sargent <span dir="ltr">&lt;<a href="mailto:will.sargent@gmail.com">will.sargent@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You can see for yourself if you check the javascript that it&#39;s not calling out to any server or storing it.  <div>
<br>
</div><div>Will.<div><div class="h5"><br><br><div class="gmail_quote">On Tue, Apr 3, 2012 at 6:38 PM, Andy Isaacson <span dir="ltr">&lt;<a href="mailto:adi@hexapodia.org" target="_blank">adi@hexapodia.org</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Apr 03, 2012 at 06:24:31PM -0700, William Sargent wrote:<br>
&gt; <a href="http://howsecureismypassword.net/" target="_blank">http://howsecureismypassword.net/</a><br>
<br>
... type your password into a random website?<br>
<br>
&quot;However secure it *was*, it&#39;s definitely not secure any more!&quot;<br>
<span><font color="#888888"><br>
-andy<br>
</font></span></blockquote></div><br></div></div></div>
</blockquote></div><br></div>