Vaya mes. El inefable Zalewski acaba de publicar una nueva y gravísima
vulnerabilidad en Firefox 2.0.0.1 y anteriores que permite que un sitio web
malicioso pueda manipular las cookies de otro, saltándose así las políticas
que obligan a que las cookies sólo puedan manipularse dentro de su contexto
original y permitiendo posiblemente falsear el aspecto y el funcionamiento
de esos sitios frente al usuario...

Zalewski ha puesto en marcha una demostración (requiere javascript
activado) que desde el dominio *.dione.cc establece una cookie de prueba
para *.coredump.cx. Al menos mi Firefox 2.0.0.1 bajo Linux cae como un
pardillo.

a.. Mozilla Firefox Location.Hostname Dom Property Cookie Theft
Vulnerability [SecurityFocus].
b.. Demo de Zalewski (requiere Firefox con Javascript).
c.. Zalewski cookie stealing / same-domain bypass vulnerability
[Bugzilla].
http://www.kriptopolis.org/zalewski-...dad-en-firefox

--
El día que Pablo Lleó Gárcia deje de hacer el imbécil en los foros técnicos
de MS y de falsificar a la gente, yo dejaré de cantaros las 40 aquí. Hasta
el momento soy comedido: solo pongo los mismos mensajes, copiados, que Pablo
ha puesto allí y segun los va poniendo. Por tanto, ya sabeis quien es el
culpable. Y por cierto, los pongo por ahora aquí sin hacer el crossposting
que él hace en MS. Y digo "por ahora".