Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題

Firefox2.0.0.4でも直ってないですね。
Firefoxのパスワード・マネージャの脆弱性その後 - ockeghem(徳丸浩)の日記

Firefoxユーザーがクロスサイト・スクリプティングXSS脆弱性のあるWebサイトでパスワードを記憶させている場合には,細工が施されたリンクをクリックするだけでそのパスワードを盗まれる恐れがある

直す方法はあると思うんだがなぁ。勝手に全自動でパスワード補完しないで、Operaみたいに一回キーを叩かせるだけでも、インパクトはかなり緩和されると思います。
まぁ、サイト側にXSS脆弱性がなければ上記は発動しないので、「けっ、サイト側の問題ジャン。XSSくらい直せよ」と思っているんだろうね>Mozillaの中の人

だけど、XSSのあるサイトなんて山のようにあるよ。それも、はせがわさん(id:hasegawayosuke)の指摘するようなマニアックなやつでなくて、ごく単純なXSS

とりあえずは、

  • サイト運営者、開発者:XSS脆弱性を解消しよう
  • サイトユーザ:Firefoxのパスワード・マネージャを使わないようにしよう

ということで自衛しましょう。