IEのエンジンのexternalオブジェクト、とりわけ、そのmenuArgumentsプロパティ、なのですが、これ、evliなサイトのヒトが簡単に悪用できちゃうと非常に困るようですね。

普通の理解ですと、レジストリへの登録がないと生きてきませんから、たいがい大丈夫なはずなのですね。でも本当に大丈夫なのでしょうか・・・

なんで心配になったかというと、ブラウジングしている最中に、レジストリ登録抜きで、悪意ある隠しの子windowが開かれて、そこに記載されている スクリプトにおいて external.menuArguments を介すると、same origin policy を無視した挙動をしてくれちゃう、つまり、親
window のDOMの操作が自由自在、のような悪い感じがしたからです。

不可視の悪い子窓が、親窓のロケーションを自在に任意のサイトに変えたり、変えた先でゲットしたりポストしたり、document オブジェクトやその他の object の操作が出来そうな予感。だいたい親窓がいろいろ動いているのに子窓のスクリプトが停止しないってどういうこと？

とまぁ、メニューバーやメニューボタンに追加して使うブックマークレットの事例をみていて思ったのでした。その事例ではAmazonの自動ログオンだったのですけれど。これ、結構難しいですよね。ログオン前に一度クッキーをもらわなくてはいけませんから。　なにかニュースサイトを見ている。新しい本をみつけた。　だからアマゾンにログオンしちゃいたい。　そこですかさずブックマークレット発動！　ニュースサイトからアマゾンのページに移動してさらにログオンしてくれちゃう、これ全部ワンアクション。便利なんですよねぇ。

external.menuArguments が、レジストリ登録抜きに簡単に悪用可能であるとは思えませんが、そのことを示唆したページもありまして。。。英語の読み方がおかしいのかなぁ…