Lasspass è un plugin per il browser e non è vulnerabile agli attacchi MITM ai suoi javascript come avviene per un sito web. Le risorse del plugin non sono installate nello stesso modo in cui un sito Web richiede i suoi file javascript tramite richieste http.
Javascript non è intrinsecamente più vulnerabile ad attacchi diversi dalla natura con cui il codice viene richiesto e caricato. (MITM)
Può tuttavia essere notevolmente più lento del codice nativo (Internet Explorer), ma può anche essere notevolmente più veloce delle implementazioni di codice nativo (motore V8 di Chrome).
Dal login del sito Web di LastPass, il certificato HTTPS valido autentica le risorse caricate dal browser. L'autenticità del certificato può essere confermata guardando a sinistra dell'indirizzo del sito Web nella parte superiore della finestra.
La stessa politica di origine insieme a SSL impedisce agli iframe malintenzionati di dirottare qualsiasi risorsa javascript che può essere caricata nel frame secondario.