<div dir="ltr">The easiest way I know of is to convince the owner of a domain to load a script you control.  Once you do that, technically all bets are off and you can capture any interaction with that domain.<div><br></div>
<div>How many pages do you visit that have those Facebook like / Tweet / Google +1 buttons on them?  Yeah... I think those scripts are worth blocking.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Sep 21, 2013 at 2:30 PM, William Roush <span dir="ltr"><<a href="mailto:william.roush@roushtech.net" target="_blank">william.roush@roushtech.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'll bite, how DO you gain control of a window you didn't spawn in javascript on a modern browser?<br>
<br>
I could see it being done with other technologies (ex: java applets?) or other exploits (XSS/CSRF), but I'd figure those would seem to be a lot easier to detect and we'd have evidence before this even came out.<span class="HOEnZb"><font color="#888888"><br>

<br>
William Roush</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
On 9/21/2013 2:03 PM, Mike Harrison wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'd like to know what they mean by that... cross-window, cross-domain exploits? Aren't those nearly impossible on any modern browser?<br>
</blockquote>
<br>
Not impossible, but I'm waiting for a better explaination of what really happened. LinkedIn and other social media sites are often confusing to some people, and they click [yes] and enter passwords without thought.<br>

<br>
It might be as simple as morons that use the same password for email as<br>
things like LinkedIn, Facebook..<br>
______________________________<u></u>_________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org" target="_blank">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/<u></u>mailman/listinfo/chugalug</a><br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org" target="_blank">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/<u></u>mailman/listinfo/chugalug</a><br>
</div></div></blockquote></div><br></div>