<div class="gmail_quote">On Thu, Jul 22, 2010 at 2:48 PM, Mike Shaver <span dir="ltr"><<a href="mailto:mike.shaver@gmail.com">mike.shaver@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div class="im">On Thu, Jul 22, 2010 at 5:32 PM, Luke Hutchison <<a href="mailto:luke.hutch@mit.edu">luke.hutch@mit.edu</a>> wrote:<br>
</div><div class="im">> On Thu, Jul 22, 2010 at 5:03 PM, Mike Shaver <<a href="mailto:mike.shaver@gmail.com">mike.shaver@gmail.com</a>> wrote:<br>
>> Would a UA that asked for the<br>
>> user's permission the first time a bookmarklet is used (like some<br>
>> prompt the first time a given helper app or URL scheme is used) be<br>
>> compliant?<br>
><br>
> You mean like Windows User Account Control? ;)<br>
<br>
</div>No, I mean like the prompts for geolocation, popup windows, first-use<br>
helper applications, first-use URL protocols, and similar.  But my<br>
question is more about what you propose to disallow, and why you<br>
choose "disable" as the requirement.<br></blockquote></div><br>This seems to be the wrong venue for this discussion but it is worth noting that IE8 doesn't allow drag-and-drop of javascript: links to the favorites bar. If you do right-click->Add to Favorites for a javascript: link it prompts "You are adding a favorite that might not be safe. Do you want to continue?" So clearly they think there is some security risk there. It doesn't impede a user from copying the link though and pasting it in the URL bar though.<br>

<br>Even though I regularly type JavaScript in the URL bar I think it would be a smart change to make that disabled by default. There are already other things I go into about:config for. :)<br><br>Paul Ellis<br>