En realidad, esto no tiene nada que ver con mover CryptoCat a un complemento / extensión del navegador. No es incluso relacionado con SSL en absoluto. Teniendo eso en mente, la respuesta de Stephen es algo engañosa. Intentaré abordar eso. CryptoCat sigue siendo JavaScript & HTML.
Préstame toda tu atención , asume que SSL está haciendo su trabajo y que estás 100% seguro de que te estás conectando al servidor CryptoCat original. Si Nadim (el tipo detrás de CryptoCat) se vio obligado por la ley a revelar su futura conversación, simplemente detectará cuándo se conectará (desde su IP) y le enviará un JavaScript malicioso que haría que su navegador use una clave personalizada y, por lo tanto, se dé la capacidad de descifrar su conversación y dársela al FBI, NSA, CIA, etc.
Esa forma de seguridad se llama seguridad basada en host, donde le da su confianza completa al proveedor de servicios. Sí, sus cosas están encriptadas, pero la lógica de encriptación / descifrado proviene del proveedor de servicios y pueden enviarle lo que quieran. Schneier y otros investigadores de seguridad criticaron a CryptoCat por esto.
Al mover el código a un complemento del navegador, ahora debe confiar en la fuente solo la primera vez que descarga el código. La comunicación todavía ocurre entre usted y el servidor, el cifrado y el descifrado todavía ocurren en su navegador, el código sigue siendo JavaScript y HTML5. La única diferencia aquí es que la próxima vez que se conecte a los servidores CryptoCat, no necesita confiar en el código que le envían. El código en su navegador todo el tiempo, puede auditarlo y verificarlo cuando lo desee.
Patrick Ball escribió un artículo muy interesante sobre el tema ; explica el concepto de seguridad basada en host y otros problemas relacionados. Le ayudará a comprender el panorama general con respecto a este asunto.
Para responder directamente a tu pregunta , sí, es posible. CryptoCat es un gran ejemplo.