Algumas questões de segurança acredito que não sejam uma preocupação tão grave, pois, os bancos de dados adicionados pelo usuário ficam armazenados nos cookies e somente, a aplicação em si não possui nenhum banco de dados, backend ou coisa do tipo para armazenamento por usuário.
Creio que você não leu com atenção o que eu escrevi, pois essa informação não muda em absolutamente nada o que eu falei. Todos os pontos de segurança que eu levantei permanecem intocados.
Na verdade adicionou mais um: pois cookies do navegador não são encriptados. Ou seja, as credenciais de acesso do banco de dados estão sendo armazenadas em texto claro no computador do usuário.
É o mesmo risco de você salvar senhas em um arquivo de texto na sua pasta documentos.
Ou seja, além dessa informação não ter mudado em nada os problemas que eu já tinha apontado, pelo contrário, me obrigou a apontar mais um.
A ideia inicial do projeto era realmente ser self-hosted, porém, iria cair justamente no âmbito de você precisar instalar uma coisa a mais na sua máquina, ou baixar algo a mais, sendo que a ideia é justamente a portabilidade de você conseguir acessa-la de qualquer lugar.
Mas rodar na sua máquina não é o conceito de self-hosted. Self-hosted é você iniciar um servidor, instalar a aplicação lá e gerenciar o servidor por conta própria. Por isso o "hosted" no nome, significa que você vai hospedar (host) a aplicação por conta própria (by self).
E também sobre a questão de confiança, entendo que esse talvez seja o mais díficil, mas o código fonte do projeto já está aberto, no momento que escrevo isso ainda não adicionei um link dentro do próprio projeto, mas ainda irei.
Entenda cara, usar tua plataforma pelo seu link significa que:
- A pessoa confia que o servidor da aplicação não foi invadido por ninguém
- A pessoa confia que o domínio que aponta para sua aplicação não foi adulterado para apontar para um "clone" falso dela
- A pessoa confia que nenhum atacante deu um jeito de injetar e executar código na sua aplicação
- A pessoa confia que nenhum atacante deu um jeito de roubar os cookies da sua aplicação
- etc.
Tornar o código open source mudou alguma coisa em relação aos pontos acima? Não, por isso falei sobre ser self-hosted.