RSnake kicsit felkapta a vizet, miután a Google válaszolt neki egy hibabejelentésre, amelyben egy google.com gmodules.com-on keresztüli XSS-t lehetővé tévő hibát írt le. A válaszadó szerint a hiba nem alkalmas arra, hogy egy támadó a google.com domainhez tartozó sütikhez és hasonlókhoz hozzáférjen, ezért a bemutatott problémát "elvárt viselkedésnek" tekintik.
Egyelőre ilyen jellegű támadás tényleg nem ismert (és a cross-domain policy miatt valószínűleg nem is lehetséges - hacsak az ember át nem vágja a böngészőt, mint arra már számos példát láttunk), a Google Team azonban átsiklott olyan apróságok fölött mint pl. hogy ez a lyuk alkalmas lehet arra, hogy phisherek a Google mögé bújjanak, vagy hogy egy megfelelően elkészített modul kód egy weboldalba beillesztve ártalmas kódot futtathat a látogatók gépén (a Google-ben ugye a legtöbben megbíznak, a NoScript sem jelent teljes védelmet).
Egyelőre ilyen jellegű támadás tényleg nem ismert (és a cross-domain policy miatt valószínűleg nem is lehetséges - hacsak az ember át nem vágja a böngészőt, mint arra már számos példát láttunk), a Google Team azonban átsiklott olyan apróságok fölött mint pl. hogy ez a lyuk alkalmas lehet arra, hogy phisherek a Google mögé bújjanak, vagy hogy egy megfelelően elkészített modul kód egy weboldalba beillesztve ártalmas kódot futtathat a látogatók gépén (a Google-ben ugye a legtöbben megbíznak, a NoScript sem jelent teljes védelmet).
Az igazsághoz azért hozzá tartozik, hogy a válaszban a Google-s srácok nem zárkóztak el az észrevétel hibaként történő elfogadásától, amennyiben további magyarázatot vagy működő exploitot kapnak.
