hi,

heise.de: http://www.heise.de/newsticker/meldung/69159

"Das nur von Browsern der Mozilla-Familie unterstützte Element für Cascading Stylesheets (CSS) "-moz-binding" lässt sich nutzen, um mit Hilfe einer manipulierten Website beliebigen JavaScript-Code in das Document Object Model (DOM) des Browsers einzuschleusen. Dadurch ist es möglich, so genannte Inter-Domain-Zugriffe auf Daten durchzuführen, die andere Websites zur Identifizierung des Nutzers im Browser hinterlegen, wie beispielsweise Cookies und Session-IDs."

Hm, klingt erst mal übel.

Aber wie genau soll das funktionieren?
Um irgendwo -moz-binding mit einem "bösen" Wert angeben zu können, muss ich doch erst mal Zugriff auf das in eine Seite eingebundene CSS haben, oder?

Oder kann ich mit einem auf _meiner_ Seite eingebundenen Code auf "im Browser hinterlegte" Daten _andere_ Webseiten zugreifen, die gleichzeitig - oder sogar nicht mal das - angezeigt werden?

gruß,
wahsaga