第一条是gmail的手机版浏览器开始使用HTML 5里的 local storage 来支持离线浏览。



在之前可能仅仅是用Gears的 一些功能，但这要求装 Gears 插件。

而HTML 5的 local storage 是目前很多浏览器都开始支持的，通用性很好。

它的实质就是存储一个 SQLite 的小DB。 但是这有可能带来的隐患是隐私数据泄露，因为一旦出现XSS或者是其他漏洞，可能让攻击者跨域读取到这个DB里的数据。 我记得 HTML 5的 Global Storage 是任意域可读写的，不知道有没有记错。出于易用性的考虑，SOP在这里做的也很弱，标准里也不推荐储存一些敏感信息在这里。即便SOP没有出现问题，也有通过XSS然后注射本地DB的风险。

Google 确实时髦，不过安全性还有待验证。 也许接下来google的工程师会考虑怎么来完善这一方案。


第二条是一个很有意思的攻击过程，XSS通过注射来传播。

http://tacticalwebappsec.blogspot.com/2009/04/blended-attacks-reflected-xss-attack.html

和之前流行的Mass SQL Injection（在中国叫数据库挂马） 有相同，也有不同，是一个这样的案例：
1. 攻击者找到一个任意网站的SQL 注射的漏洞
2. 写一条注射的link，放在任意一个网站上
3. Google 把这个link给爬到索引里去了，然后通过google alerts 或者是 google search 传播
4. 受害者订阅了Google Alerts, 点击了这个link
5. 受害者于是注射了那个站，被注射的站解开SQL后，返回了一个