could the botnet concern be addressed by restricting network access from the background page when there is no foreground page referencing it? e.g. restrict it to requests to the same origin, no matter how those requests are made? wouldn&#39;t let gmail precache linked images, when fetching new mail, but that&#39;s not a huge concern.<br>
<br>a<br><br><div class="gmail_quote">2009/7/28 Aryeh Gregor <span dir="ltr">&lt;<a href="mailto:Simetrical%2Bw3c@gmail.com">Simetrical+w3c@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
There&#39;s not really a whole lot that a malicious or incompetent<br>
persistent page could do to the user&#39;s computer.  At worst, it could<br>
interfere with the browser.  I guess the botnet concern is justified,<br>
though (for use in DDoS or something).  Not sure how to avoid that.<br>
</blockquote></div><br><br clear="all"><br>