ZDNetのアップデートの翻訳がきた。ただし肝心の所で、使ってるCMSかなんかのせいか、情報が腐ってるな。NoScriptで100％の保護を得るためには、「Plugins|Forbid \」オプションをチェックする必要があるって、ソースでは「\<iframe\>」になってる部分がバックスラッシュで表示されとる。正しくはFor 100% protection by NoScript, you need to check the “Plugins|Forbid <IFRAME>” option.だな。やっぱ↓の推測があたりで、JavaScript をターゲットのページに投げる為に使われると推測される手段がiframe、ってところか。

これは、CSSを使って、透過したFlashをウィンドウの全面に貼付けて、クリックを奪ってしまう、ってことなんだろう。
実際に実行コードも書いてみたけど、見事にちゃんと、記事のとおりになった。
（と、ここでかっこ良くサンプルページを貼付けたいんだけど、あまりにも単純すぎて、コピペでそのまま悪用できるのでやめた）

実際にスクリプトはFlashの中で動くので、JavaScriptが切ってあっても問題ない。
JavaScript をターゲットのページに投げるのは一筋縄ではいかないけど、Flashになれてる人なら簡単だろう。
逆に考えると、Flashの中で生成できるので、例えば現在のURLにパラメタを追加して投げるとか、そのページ内に存在しない何かをどこかに向かって投げるとかも簡単。