Firefox 2.0.0.1 的安全漏洞

有使用的人,儘快照著暫時的解法擋一陣子囉...

大神那裡看來的消息,說 Firefox 2.0.0.1 被發現有安全上的漏洞:New Firefox cookie vulnerability, workaround,以及 Bug report:Zalewski cookie setting / same-domain bypass vulnerability

大意是說惡意攻擊者可以更改 [tag]firefox[/tag] 裡 location.hostname 的值,然後開始洩漏你的 cookie 資料,甚至讓你的 XMLHttpRequest 失效(因為就變成不是 same origin)。

目前知道暫時的解法是禁止網站修改 location.hostname ,所以就到 firefox 的 about:config 裡面加入一個 String 然後設定為 capability.policy.default.Location.hostname.set = “noAccess”,再重新啟動 firefox。