Hallo,

Du verwendest eine nicht standardisierte, nicht wirklich dokumentierte (?) interne API

Dokumentiert ist sie durchaus. Gerade diese recht unkomplizierte Cross-Domain-AJAX-Fähigkeit war u.a. der Grund, warum mein Programm auf Firefox zugeschnitten ist, so dass andere Browser es jetzt eh nicht korrekt ausführen können. Mein Programm kann die benötigten echten Zufallszahlen nunmal nicht aus dem Ärmel schütteln, aber eine simple AJAX-Abfrage hat sie dann geliefert, und gut.

Der Benutzer wird vor dem Request zwangsläufig vom Browser mit einem Hinweis auf Sicherheitsrisiko konfrontiert, wobei er bestätigen oder ablehnen kann. Das finde ich vernünftig und sicher genug. Wer das Progrmm benutzt, der weiß auch, was er tut, und sonst soll er halt ablehnen.

Was soll am bewussten Runterladen von Daten via AJAX überhaupt riskant sein?
Den Script-Tag-Hack dagegen hat man sicher nicht abgestellt, mit dessen Hilfe man jedes JavaScript aus aller Welt laden und ausführen kann, und zwar ohne dass der Benutzer etwas davon merkt.

Der Webservice sollte sinnvollerweise ein JSONP-Webservice sein sollte oder zumindest CORS unterstützen, dessen Unterstützung Firefox 5 erst verbessert hat.

Sollte er? Nur weil der tolle Browser nicht mehr anders will? Klar, man könnte auf den Service verzichten oder den Betreiber drängen, doch bitte diese und jene Technologie zu unterstützen, damit die Browser wieder für eine Weile zufrieden sind...

Bis jetzt war ich überzeugter Fan von FireFox, gerade weil der nicht so ein Heckmeck um jeden Sch... machte, sondern einfach nur funktionierte.

Naja, mich wundert's auch nicht wirklich, trotzdem bin ich ziemlich verärgert.

Gruß, Don P