IT-Experten unserer Firma, die trotz Firewall alle (!) aktiven Komponenten im Browser sowie sämtliche (!) Mail-Funktionen aus Sicherheitsgründen abgeschaltet haben.

Unsere Firewall filtert den Inhalt von HTML-Seiten, die von außen kommen. Java-Applets werden herausgelöscht. JavaScript-Code wurde früher ebenfalls entfernt (jetzt nicht mehr).
Eine solche Vorgehensweise hat immerhin den Vorteil, daß man in seinem Browser alles aktiv haben kann und wenigstens im Intranet alles funktioniert - und man nicht am Browser herumschrauben muß, wenn man zwischen Intranet und Internet wechselt.

Trotzdem ärgerlich, dass viele Sites dann nicht mehr navigierbar sind.

In der Tat. We ein solches Fehldesign macht, der verschreckt seine Kunden. Es darf ja gerne weniger schön aussehen, aber es muß noch irgendwie funktionieren, auch ohne JavaScript.
Bei Java ist das anders: Wenn ein Applet nicht da ist, dann ist die Seite normalerweise wertlos.

Wenn jemand konkrete Hinweise auf Angriffe über JavaScript hat, bitte melden, gerne auch per Mail.

Es gibt eine Möglichkeit, über ein JavaScript-Objekt den Cache anzusprechen und die darin stehenden URLs zu lesen. Wenn dort Passworte als CGI-Parameter drin stehen, sind diese ausspähbar (per Mail nach außen gesendet etc.)