Ja, és tegyük hozzá, hogy a FF fenti sérülékenysége csak olyan oldalon használható ki, ahol a támadni kívánt user pontosan 1 jelszót mentett el, illetve csak az adott domainen belül lehet alkalmazni, ezen feltételek együttállása esetén viszont észrevétlenül, és majdnem teljesen automatikusan (JavaScript kell hozzá, ha azt akarjuk, hogy a user ne tudjon róla). Tapasztalataim szerint a 2.0 elõtti utolsó FF, az 1.5.0.8 nem érintett a hibában.
A hibához tehát mindenképpen szükség van arra, hogy egy adott domain alá a támadó tetszõleges HTML-kódot tudjon juttatni, ha viszont ezt megteheti, akkor gyakorlatilag minden elõvigyázatlan felhasználótól ki tudja csalni a jelszavát böngészõhiba nélkül is (elég hozzá egy, az eredeti bejelentkezõlap pontos másolata, amelynek onsubmit eseményéhez egy olyan JavaScript eseménykezelõt rendelünk, amely a háttérben eljuttatja a támadóhoz a begépelt jelszót, majd továbbengedi az ûrlapot az eredeti domainre - ennek minden JS-et támogató grafikus böngészõ bedõl).
Szvsz az is elõvigyázatlan felhasználó, aki egyáltalán használja a jelszavak megjegyzése funkciót bármelyik böngészõben, ezek ugyanis többnyire titkosítatlanul pihennek valahol a vinyón, így tehát bárki megnézheti, aki a géphez hozzá tud férni.