Si, si yo no digo que ahora se haya vuelto recomendable usar eval, simplemente que desde mi punto de vista el hecho de la seguridad ya no es argumento y por lo que veo hasta ahora coincidimos en eso. De ahí a que haya otras razones por las cueles no seguir usándolo, es otra cosa.
Cita: No entendí la relación Firebug/GreaseMonkey con XSS.
Simple, por ejemplo, con firebug puedes inyectar Js en un sitio sin restricción alguna, aun que como bien apuntó paninio:
Cita: con el simple protocolo javascript: ya podemos hacer casi de todo y los ataques xss
Cita: Yo comparto lo dicho por Panino5001. El problema de eval no es tanto el riesgo de inyección de código sino:
a. El rendimiento
b. Siempre (por lo menos el 99.9% de las veces) hay otro modo de hacerlo que no necesita usar eval.
También comparto el punto de vista.
Cita: Ahora yo pregunto... ¿cuántos huyen del uso de eval pero siguen usando el constructor Function y pasando cadenas a setTimeout/setInterval?
El constructor Function? esa es otra bestia peluda que también conviene evadir, especialmente por que su aplicación práctica es casi siempre posible de lograr mediante otras maneras, al igual que pasa con eval. En cuanto a setTimeout/Interval, yo siempre que las uso (que es casi igual a nunca) paso funciones.
PD. Que bueno ver que 4 de los Grandes se han apuntado a la plática.