application.shellとは違う話題。
もじら系のブラウザでリモートから（たとえばWebサイトから）shellスキームで直接いじくられる危険性があって、そのパッチは既に出ていますよ、と報道されていますね。SMB経由でshellスキームを悪用される可能性もあるんですよ、とかいう話も出ていました。hcpスキームもやばいから禁止したほうが良いのでは？と、もじら開発陣が悩んでいる風味ですが、このさい、ブラックリスト（悪人手配書）にshell君やhcp君を載せる載せないはやめてしまって、ホワイトリスト（免許取得者）にのみ頼ったらどうでしょう。知らないうちにどんどんスキームがたまる一方ですので、使っても安全だし有益だとわかってはじめてホワイトリストにのせることにすれば、今、こんなに騒いでいないことと思われます。
参考：
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/07.html#20040709_Mozilla