我与 cryptocat 的首席开发人员进行了交谈，我想我应该在这里发布他的电子邮件：

来自 Nadim Kobeissi

在安全性方面，Cryptocat 已通过专业安全公司多次审核。我们来自 Veracode 的最新审计给了我们 100/00 的分数： https ://blog.crypto.cat/2013/02/cryptocat-passes-security-audit-with-flying-colors/

由于浏览器密码学是新领域，仍有工作要做，但我相信 Cryptocat 具有令人印象深刻的安全性。

我邀请您也查看我们的代码库： https ://github.com/cryptocat/cryptocat/

…和文档：https ://github.com/cryptocat/cryptocat/wiki/

NK

是否有人对系统进行过分析并撰写了白皮书？

是的，这是Cure53 的 Cryptocat 2 公开测试报告 (PDF)，这是它的结论：

结论

Cryptocat 2 在很短的时间内达到了很高的成熟度。值得称道的是，尽管手头的任务很复杂，但开发团队已证明在创建安全代码方面拥有丰富的专业知识。虽然沟通过程在动态更新的审计框架中至关重要（在任务期间和完成后），但在这种情况下处理得非常好，导致所讨论的问题几乎可以立即得到解决。让我们说明一下，多次成功修复通知的反馈已设法同时到达我们以准备后续电子邮件！

尽管如此，我们发现的问题强调了在浏览器扩展中精心策划和彻底实施的安全架构的重要性。必须提醒的是，在 Web 应用程序上下文中导致相当无害的脚本执行的漏洞，当在浏览器扩展中被发现和利用时，可能会变成有害的权限升级或远程代码执行。Cure53 要感谢自由亚洲电台、整个 Cryptocat 开发团队，特别是 Nadim Kobeissi，感谢这个具有挑战性和全方位专业处理的项目。

编辑：我还想向您推荐这个@Adnan 的简单而有效的解释，说明Cryptocat 过去是什么之间的差异，以及自迁移到 Cryptocat 2 以来它的信任/安全模型中最重要的变化是什么：

通过将代码移动到浏览器插件，现在您只需在第一次下载代码时信任源代码。您和服务器之间仍然进行通信，加密和解密仍然在您的浏览器中进行，代码仍然是 JavaScript 和 HTML5。这里唯一的区别是下次连接到 CryptoCat 服务器时，您不需要信任他们发送给您的代码。代码一直在你的浏览器中，你可以随时审核和检查。

请阅读整个答案，以更好地了解该线程中正在讨论的内容，我只摘录了一小段摘录，不想强加于阿德南自己的努力。

尽管进行了安全审计，但事实证明，直到最近 Cryptocat 还存在一个影响群聊的重大缺陷：

http://www.h-online.com/open/news/item/Cryptocat-s-false-sense-of-security-with-crackable-chats-1911793.html

根据安全专家史蒂夫托马斯的说法，在 2011 年 10 月 17 日至 2013 年 6 月 15 日期间通过 Cryptocat 发送的 [群聊] 消息已被泄露。该安全漏洞影响自 2.0 以来的所有聊天软件版本，因为该漏洞仅在 2.0.42 版本中被发现并关闭。在他的网站上，Steve Thomas 对软件开发人员进行了大量的尝试。