詳しい結果は朔工房の篠原さんが書いてくれてるので、そっちを参照してもらうとして、とりあえず信用できない人の公開用URLはクリックすると危険。というのだけはわかったので、注意喚起するだけにしときます。

検証用のtest.htm は、alert と document.write だけだけど、アクセスしてこれが機能するということは、悪意あるユーザの公開URLをクリックしてしまうことでやりたい放題されてしまう危険性があるということ。拡張子によって判断されているようなので、.htm や .html に気をつけるだけでも違うと思うけど、TinyURL なんかで短縮されたりしてると、かわしきれない可能性も否定できないですよね。

機能的にも処理的にも大変すばらしいサービスだけに、悪用や悪戯に対する対策も今後検討してもらいたいですね。