Ha valóban úgy működik, ahogy írják, akkor a jelszavad nélkül valóban nem férnek hozzá.
De ha valaki módosítani tudja a JavaScript fájlokat (pl úgy hogy megkapja az ssl privát kulcsokat), akkor semmi nem akadályozza meg abban, hogy elküldje egy 3rd party serverre a decrypteléshez használt jelszót amikor megnyitod az oldalt. (hogy csak a legegyszerűbb megoldást mondjam)
> Amúgy a ProtonMail is támogatja a PGP-t.
Ezzel megint az a baj, hogy böngészőben történik a decryptálás/kulcsok tárolása, ami ugyanúgy leakelhető a js fájlok módosításával.