惡意軟件作者和詐騙者已經濫用了一個 Firefox 當中的錯誤來捕獲惡意網站上的用戶信息已有 11 年。網絡中充滿惡意網站并不令人奇怪，但這些欺詐網站當中會有一些聰明的家伙利用瀏覽器廠商疏忽而實現的“小技巧”騙倒不少人，事實上這一問題自 2007 年 4 月就被首次報道，而到現在都沒有被修復。

　　該漏洞的利用并不困難，只需要在源代碼中嵌入一個惡意的 iframe，就可以實現在另一個域上發出 HTTP 身份驗證請求，這導致 iframe 在惡意站點上顯示身份驗證模式，如下所示：

　　在過去的幾年里，惡意軟件作者，詐騙者一直在濫用這個漏洞來吸引被黑網站的用戶，例如顯示技術支持詐騙信息，進行廣告欺詐，欺騙用戶轉向購買虛假禮品卡的網頁，或干脆直接提供惡意軟件。

　　但是，盡管技術社區一次又一次地報告了這個問題[1, 2, 3, 4, 5, 6, 7]，但原因不明的是，問題一直沒有修復，騙子們一直很樂意濫用它。

　　最新的濫用示例來自于今天再次報告該問題的用戶，登錄框跳出后，其中一個正試圖強迫他安裝可疑 Firefox 擴展程序。惡意頁面打開了瀏覽器的全屏模式，然后網頁跳出了虛假的 Windows 對話框(哪怕用戶正在使用 Linux)。

　　因為這個登錄對話框的原因，按 ESC 退出全屏或者點擊選項卡中的窗口的關閉按鈕都不起作用，點擊登錄對話框的關閉按鈕或取消按鈕，就會重新出現對話框，除非殺掉 Firefox 進程問題才會解決。

　　Mozilla 是一個開源項目，他們沒有無限的資源來處理所有報告的問題，不過無論如何一個超過 11 年的安全隱患不應該被忽視。
　　（邯鄲網站建設）