mno a končíš u toho, že v podstatě nelze udělat webovou aplikaci, aby byla bezpečná, autor nad ní nemá dostatečnou kontrolu, stejně jako uživatel. Současný stav nabízí jako bezpečnou variantu pouze mobilní aplikace (desktopové se nedají snadno distribuovat k uživatelům), kde si autor může bezpečně ověřit, že opravdu komunikuje se správným backendem, ověřit jeho certifikáty, ověřit jeho integritu a zároveň si může ověřit, na jakém zařízení běží (aktualizace, HW ochrana, šifrování atd.), stejně tak uživatel má možnost si ověřit, kdo je autorem aplikace, jestli se jedná o společnost (a její účet).
PS: podívej se jak skončily paypal platby, iframe bez možnosti jakkoliv ověřit, že na druhé straně je opravdu paypal