L'idea è semplice: così come si entra in Hotmail e si spediscono e ricevono messaggi, allo stesso modo lo si può fare, utilizzando però email criptate senza dover scaricare nessun software.
HushMail, basato su PGP e S/MIME-like, sfrutta java. Il mittente entra in HushMail e, attraverso un'applet java, può mandare un'email criptata. Anche il destinatario deve avere un account su HushMail. Gli account possono essere anonimi. Gli algoritmi sono ElGamal a 1024 bit e Blowfish. La chiave privata personale è immagazzinata sul server di HushMail e l'unica cosa che la protegge da accessi più o meno illegali al server è una passphrase. L'altra debolezza è costituita dall'applet java che non si può mai sapere se è quella corretta o un cavallo di Troia. Anche certificando l'applet ci sarebbero dei problemi. L'ultimo problema è legato alla collocazione fisica del server, che nonstante la compagnia che lo gestisce sia di Antigua, è collocato in Canada, che notoriamente è molto più suscettibile ad azioni legali.
Nonostante tutto HushMail sembra una ragionevole implementazione dell'idea. Esistono altri servizi come ZIPLIP, YNNMAIL, ZIXMAIL che sono molto meno sicuri fornendo una protezione davvero blanda e facilmente attaccabile.
Insomma, le email web-based criptate sono più sicure di una email non criptata, ma meno sicure di una email criptata con PGP per molti motivi: i server sono obiettivi di attacchi, le connessioni anche se SSL non sono immuni da spoofing, etc.