hallo,

var wshell = new ActiveXObject("WScript.Shell");

dachte ichs mir doch, daß jemand den "Scripting Host" anspricht. Siehe auch http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwsh/html/msdn_wsh_wp.asp

var befehl = 'd:/something.exe';
  wshell.run(befehl)

da gibts denn aber auch selbst bei aktiviertem Scripting Host noch mindestens zwei Sicherheitsabfragen

Trotzdem: es ist ein erhebliches Sicherheitsrisiko, aber zum Glück geht es auf diesem Weg zumindest nicht, von einem HTML-Dokument aus ohne weitere Sicherheitsabfrage ein Programm auszuführen.

Über einen Umweg gehts dann aber doch noch sogar ohne Sicherheitsabfrage, und zwar ganz gemein, allerdings auch nur mit dem IE und mit ActiveX-Controls: es ist möglich, über ein ActiveX-Control einige registry-Einträge zu manipulieren, darunter auch einen, der den Start bestimmter Programme sofort beim Systemstart bewirkt. Und da passiert eben zunächst erstmal gar nix, aber wenn du deinen Rechenr nach einem ergiebigen Forumsbesuch spätabends noch ein bissel zum Surfen benutzt, zufällig auf so ein "Dokument" gerätst, dir nix dabei denkst, schlafen gehst und am nächsten Morgen deinen Rechner wieder anschaltest: da kann dann halt dein System plötzlich völlig unverständliche Dinge treiben, im Extremfall einige installierte Programme (Microsoft Office) komplett löschen usw.  -  falls deine installierten Programme unter C:\Programme liegen. Und das ist ja wohl bei der übergroßen Mehrzahl der Windows-Rechner der Fall. Das Teuflische daran ist, daß du gar nicht mitkriegst, warum dir sowas widerfährt ...

Christoph S.