Ja, tolle Sache: Man schreibt JavaScript-Code in die URI einer Seite und schon wird der Code im Kontext der Domain ausgeführt. Noch nie war Phising einfacher und zuverlässiger. ;)

So sehe ich das nicht, der Code ist doch Javascript und somit ist der Client "selber schuld".
Ich habs doch nicht nötig, sowas in die Addressenzeile zu schreiben, nur um JavaScript auf meinem Rechner auszuführen :-)