Nur zur Info: Behoben wurde in Fx58 nur, dass die "POSTDATA" aka "confirm repost" Dialoge nun nicht mehr Fenster-modal sondern Tab-modal sind. Heißt, nur noch der Inhalt des Tabs wird durch den Dialog geblockt, aber nicht mehr das gesamte Firefox-Fenster. (siehe https://bugzilla.mozilla.org/show_bug.cgi?id=1412559)
Die HTTP AUTH Dialoge sind aber nach wie vor modal für das gesamte Fenster und somit lässt sich das immer noch ausnutzen für DoS oder um den Nutzer zum Installieren von schädlichen Add-Ons "zu zwingen".
Der entsprechende Bug wird hier getracked: https://bugzilla.mozilla.org/show_bug.cgi?id=613785 bzw. in dem Meta-Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1435085
Eine Verbesserung kommt zumindest mit Fx59: Do not allow an auth prompt requested by an image resource loaded from cross-origin - https://bugzilla.mozilla.org/show_bug.cgi?id=1423146
(Wenn man jedoch auf einer schädlichen Domain gelandet ist, hilft das auch wenig.)
Eine andere Idee ist, dass Dialoge, die schnell hintereinander gestartet werden, via rate-limiting verhindert werden:
https://bugzilla.mozilla.org/show_bug.cgi?id=1416761
Mittelfristig wird es wohl ein Security Widget / Doorhanger geben, der teilweise über den Browser Chrome ragt: https://bugzilla.mozilla.org/show_bug.cgi?id=1319984
Aktuell wird schwer an der Web Payments Geschichte gearbeitet, dessen Dialog/Widget/wiemansauchimmernennenwill könnte dann wiederum helfen einen allgemeinen Security Dialog zu basteln (siehe hier: https://bugzilla.mozilla.org/show_bug.cgi?id=1433047)
Ja, ist sehr off-topic, aber wen es interessiert, hier kann man sich mal den Prototyp für die Web Payments UI anschauen: https://mozilla.invisionapp.com/share/YAFI31XR3KP#/screens
(Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)