
I don't know enough about browser security to comment on that weakness but I would assume that under regular circumstances (no SSL MITM) no text is sent between your browser and Google until you hit send. I really would like to get more regular people using OTR but it seems like the main problem at this point seems to be changing people's habits.<div>

<br><div class="gmail_quote">On Wed, Jun 27, 2012 at 1:28 PM, Ian Goldberg <span dir="ltr"><<a href="mailto:ian@cypherpunks.ca" target="_blank">ian@cypherpunks.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="HOEnZb"><div class="h5">On Wed, Jun 27, 2012 at 12:54:06PM -0700, Chris Ballinger wrote:<br>

> I noticed that a lot of people these days don't use dedicated chat clients<br>

> anymore and tend to use in-browser chat interfaces on platforms like Gmail<br>

> or Facebook. It's difficult to get people to change their behavior,<br>

> especially to get people to decide to run some 3rd party desktop software<br>

> with which they might not be comfortable. Also, a lot of people seem to use<br>

> Gmail chat from places where they aren't allowed to install 3rd party<br>

> software.<br>

><br>

> Would it be possible/feasible to write browser extensions (Chrome, Safari,<br>

> FF) that use Emscripten (LLVM to JS compiler) to compile libotr, and then<br>

> hook into the DOM for Gmail or Facebook (or possibly any two user-defined<br>

> text fields?) for "seamless" in-browser OTR?<br>

<br>

</div></div>Lots of people have considered that, but there's a major obstacle: how<br>

do you know the libotr plugin is actually being used, and it's not just<br>

sending plaintext to GTalk?  As far as I know, there's no "secure<br>

chrome" mechanism extensions can use to confirm to the user that the<br>

text is being typed directly to the extension, and that other javascript<br>

running on the same page can't intercept the keystrokes.<br>

<br>

   - Ian<br>

_______________________________________________<br>

OTR-dev mailing list<br>

<a href="mailto:OTR-dev@lists.cypherpunks.ca">OTR-dev@lists.cypherpunks.ca</a><br>

<a href="http://lists.cypherpunks.ca/mailman/listinfo/otr-dev" target="_blank">http://lists.cypherpunks.ca/mailman/listinfo/otr-dev</a><br>

</blockquote></div><br></div>