セキュリティホールmemoさんによるとFirefox のbug fix版が2月22日にでるらしいよ。

Firefox 2.0.0.1 以前に欠陥。NULL 文字 (\x00) が含まれる場合のlocation.hostname DOM プロパティの扱いに欠陥があり、攻略 web ページが他ドメインの cookie を設定することなどが可能となる。

2007.02.22 リリース予定の Firefox 1.5.0.10 / 2.0.0.2 で修正される。

また、JavaScript を無効にしたり、about:config からcapability.policy.default.Location.hostname.set を noAccess に設定することで回避できる。

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2007/02.html#20070219_Firefox

user.jsを書くのと同じですね。

追記はてなの引用(>URL>)記法はURLに#が含まれていると末尾の＞がURLの一部として誤認識されるんじゃないのか？どうなんですか？教えて偉い人！