Здравствуйте, sin_cos, Вы писали:

_>как вы можете быть уверены, что сервер иногда умышленно не отдает какому-нибудь счастливчику слегка модифицированную версию js, которая, например, отправляет пароль в чистом виде на сервер? вы ведь не будете каждый ответ от сервера изучать?

Полной гарантии, разумеется, нет. А уверенность может базироваться на том, что

• код и процесс разработки открыт, его можно изучить и найти изъяны
  
• есть активное сообщество, то есть высока вероятность, что найдется кто-то умный и код изучит.
  
• сервис дорожит своей репутацией; при серьезном проколе код можно форкнуть и забрать большинство пользователей на новый сервис.

Нужно также заметить, что эта проблема актуальна для любого кода. Например, скачивая дистрибутив Debian, как ты можешь быть уверен, что там нет какой-то гадости? (А попытки взломать их сервера и внести изменения в репы реально были.) То есть тут браузер/не браузер не играет никакой роли.

Ну и еще можно заметить, что уже скоро должны разродиться с WebAssembly, и сборки клиентского кода будет подписываться, почти как в Дебиане. Плюс одно очко к уверенности.