Ha weben jelentkezel be, akkor nem garantalja semmi, hogy pont az opensource koddal megegyezot kapod meg egy ilyen esetben (es ellenorizni sem igazan tudod). Tehat a bongeszo elkuldheti a kulcsot. Akkor is elkuldheti valahova, ha van benne egy xss vagy valami mas hiba. Nem erre talaltak ki. Persze az auto updatelodo szoftverek sem jok erre igazan.