新生鳩丸掲示板♯

Firefox 6以降からは "Bug 656433 - Disallow javascript: and data: URLs entered into the location bar from inheriting the principal of the currently-loaded page" となっています。

https://bugzilla.mozilla.org/show_bug.cgi?id=656433

参考までに。

補足すると、javascript:alert(document.cookie)とやってもCookieを抜けないようになったということですね。alertすら定義されていないのでダイアログも出ませんが、こちらは意図したものではないそうです。

> 攻撃者には「javascript:と入力してからコピーしてください」という指示をする余地もあるので、この対策で万全なのかと言われると微妙なところです。

そもそも「このURLをアドレスバーにコピーしてください」という指示をしているわけではないのです。

「ここをクリックしてCtrlキーを押しながら隠しコマンドA、C、L、V、Enterと入力すると裏Facebookへの入口が(以下略)」という感じです。

日本なら隠しコマンドを「カナ入力モードにしてチソリヒ」とかにすると引っかかる確率がさらに高くなるかもしれません。ローマ字入力ならタッチタイプできる人でもキーボードに目を奪われますし。少なくともFirefox 8ではカナ入力モードでも攻撃は成立するようです。

公開されていたSelf-XSSのデモでは、下記の手順でした。

1. アドレスバーにフォーカスを合わせて下さい。

2. キーボードから”j”と入力

3. Ctrl-vを実行（"avascript...”がペーストされる）