Nach Angaben des polnischen Sicherheitsexperten Michal Zalewski kann das so genannte "Spoofing" eine Schwachstelle in der Adresse "about:blank" ausnutzen, die eine leere Seite öffnet und gerne als Browser-Startseite verwendet wird. Dabei zeigt der Browser weder eine URL in der Adresszeile noch eine Information in der Titelzeile des Fensters an. Das Problem ist, dass auch JavaScripts solch eine Seite öffnen können, über eigene Funktionen hier allerdings auch weitere Inhalte einbauen können. Zwar ist dies für Fenster, die aus unterschiedlichen Domains stammen, normalerweise nicht möglich. Da aber "about:blank" gar keiner Domain zugeordnet und der über den Befehl "document.location" gesteuerte Zielort der Seite nicht definiert ist, funktioniert es trotzdem. Um das Problem zu verdeutlichen, hat Zalewski für Firefox 1.5 und 2.0 eine Demonstrationsseite zur Verfügung gestellt. Firefox-Nutzer, die mit "about:blank"-Seiten arbeiten, sollten JavaScript vorübergehend abschalten oder das Plug-in NoScript installieren, das Scripting nur auf bekannten vertrauenswürdigen Seiten erlaubt. (sh)