Hi MudGuard,

Wäre der Zugriff per Javascript auf ausführbare Dateien ein Bestandteil der Spezifikation - sprich, wenn es so wie bei Popups (konfigurierbar) window.open gibt, ein system.exec für das Ausführen von Dateien gäbe - , wäre auf jeden Fall die Konfigurierbarkeit erforderlich.

Ich verstehe schon, warum Du meinen Ansatz für undurchführbar hältst, aber ich bin nicht sicher, ob Du es Dir nicht zu leicht machst. Es gibt heute verschiedene erfolgversprechende Wege, per Javascript in der aktuellen Browsergeneration Manipulationen am Rechner des Surfers vorzunehmen, etwa Programme auszuführen und zu installieren, Dialer und Trojaner sind nur bekannte Beispiele.

Diese Wege sind gut dokumentiert und werden von verschiedenen Sites eingesetzt. Ein Beispiel für den IE:
http://62.131.86.111/analysis.htm,
eins für den Mozilla http://www.heise.de/security/dienste/browsercheck/demos/nc/xpi-demo.shtml
und eins für Opera:
http://www.heise.de/security/dienste/browsercheck/demos/op/odemo2.shtml.

Man kann also eigentlich nur empfehlen, auf unbekannten Sites steht mit ausgeschaltetem JavaScript zu surfen, was aber durch die Seiten erschwert wird, die ohne JS nicht funktionieren, ich nenne mal als Beispiel die Auskunft der Telekom...

Für mich wären Fortschritte:

1. Ein Button, mit dem ich JS direkt in der Kopfleiste des Browsers komplett an- und abschalten kann.
2. Bemühungen, Sprache und Browser sicherer zu machen, auch wenn man dafür auf einige Komfort-Feastures verzichten müsste.

Ich formuliere es mal anders: Wenn man keine Wege findet, JS zu entschärfen, sehe ich es als zweifelhaft an, JS auf kleineren Sites einzusetzen.

Viele Grüße
Mathias Bigge