Um grupo reclamou de um “bug” no Firefox sobre a falta de um aviso ao entrar numa URL potencialmente mal intencionada, mas isso não é uma falha do Firefox, ao contrário do que muitos podem pensar ao ler a reclamação.
O Firefox avisa quando o usuário tenta entrar em um site com algumas técnicas para disfarçar o endereço real do site, por exemplo, https://www.sitebom.com@siteruim.com. Nessa URL a verdadeira URL acessada é o siteruim.com, mas o usuário pensaria que está indo para o sitebom.com, pois o @ na URL separa um login/senha do domínio e usuários básicos nem fazem idéia disso.
Há quem reclame que o Firefox não mostra esse aviso se a página carregar uma URL assim num iframe. O bug reportado dá mais detalhes, mas não foi considerado como bug pela Mozilla.
Na explicação oficial deixaram claro que não há risco e não vão “corrigir”, portanto se você ouviu algo sobre isso recentemente, fique tranquilo.
As URLs abertas em iframes normalmete não são exibidas para os usuários, a menos que estes vejam o código fonte das páginas. Como não são exibidas, não há como ocorrer uma tentativa de “ocultar” a URL real, já que ela não seria exibida de qualquer forma. Como segurança o filtro anti-phishing e malware do Firefox alerta se alguma página estiver marcada como maliciosa, esteja ela dentro de um iframe ou não.
