私がよく使うFirefoxの拡張機能「Super Drag and Go」がすでに修正されたFirefoxのセキュリティーホールを再発させている(Piro氏によるXULのセキュリティーホールに関するプレゼンテーションより)という話を聞いてやきもきしていたのですが、開発者にその情報が伝わっていないようだったので思い切って自分で報告してみました。

英語だなんて書きなれていないので少々不安はありますが、まあなるようになれという感じで。きっとネイティブの人も文意は汲み取ってくれるでしょう。

ちなみに修正方法としてはパッケージのcontent/superdrag.jsでのメソッドonDropの定義中、URLを読み込む処理の前にセキュリティーチェックを行えばいいと思うのですが(下記のコードを参照)、Firefoxの古いバージョンのことも考えると少し面倒くさいかもしれません。

{//default action: open it to a new tab
    // 下の1行を追加
    getBrowser().dragDropSecurityCheck(aEvent, aDragSession, uri)