なんか最近話題になってますね。mhtmlスキームとHTTP302応答を組み合わせることで、XmlHttpRequestがクロスドメイン出来ちゃいますよというセキュリティホール。

　参考となるリンク→hoshikuzu | star_dust の書斎

　はまちちゃんの検証ページ（危険なのでリンクしません。適当にググってください。）によれば、mixiの情報を抜き出すことが可能とのこと。メッセージなどは見られたら、かなり問題ですね。しかし、mixi側もいろいろと対処をしているらしく、抜き出せる情報は減ってはいるみたいですが・・・。

　対処法としては、上のリンクページによると。

• そもそも信頼できないページを見ない
• IE使わない
• アクティブスクリプトとAxtiveXを切る
• レジストリでmhtmlスキームのハンドラを殺す

　といった方法があるそうです。ちなみに4番目の方法については、以下が参考になります。コメント欄もチェックしてみてください。

　参考：川o・-・）＜2nd life - CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策

　まぁいろいろな方法がありますが、最も簡単な方法はmixi以外のサイトを見るときは、ログアウトを必ずするということ。これが一番簡単で、一番確実です。IE以外のブラウザを使うというのもいいんですけどね。

　そもそもmixiのユーザーって、ITリテラシーの低い人たちが多いからなぁ。こういうセキュリティホールに気づかない人が多そうです。