クリックジャックの脆弱性があるみたい - hogehoge @teramakoFirefox 3.0.5 にステータスバーを偽装できる欠陥 - Windows Livebookmark ステータスバーの表示を偽装できてしまう脆弱性があるようです。「ようです」というか実装コードのサンプルもあるのでやってみると確かにステータスバーに表示されているURLとは別のURLへ飛んだ。 ポップアップでURLバーを偽装している風のやつかなと思ったので、ステータスバーが標準と異なるVimperatorなら問題ないんじゃないかと思ったが、作りが全然違ってVimperatorでも偽装されてしまった。 作りはサンプルを見てくださいな。 Safari,Chromeでも動作するようです。GeckoもKHTMLも同じような実装方法なんだろうけど、リンクのクリック時の動作ってどうなっているんだろう。クリックイベントを受け取ってtargetからURLを割り出してオープンしているのとは違うっぽい感じ。
