Hi,

Wäre der Zugriff per Javascript auf ausführbare Dateien ein Bestandteil der Spezifikation - sprich, wenn es so wie bei Popups (konfigurierbar) window.open gibt, ein system.exec für das Ausführen von Dateien gäbe - , wäre auf jeden Fall die Konfigurierbarkeit erforderlich.
Ich verstehe schon, warum Du meinen Ansatz für undurchführbar hältst, aber ich bin nicht sicher, ob Du es Dir nicht zu leicht machst. Es gibt heute verschiedene erfolgversprechende Wege, per Javascript in der aktuellen Browsergeneration Manipulationen am Rechner des Surfers vorzunehmen, etwa Programme auszuführen und zu installieren, Dialer und Trojaner sind nur bekannte Beispiele.

Diese Wege sind gut dokumentiert und werden von verschiedenen Sites eingesetzt. Ein Beispiel für den IE:

Naja, über die Sicherheitslöcher dieser Software zu diskutieren wird mir zu lange...
Der wird von mir nur lokal eingesetzt, um meine Seiten zu testen. Ins Internet darf der nicht.

eins für den Mozilla http://www.heise.de/security/dienste/browsercheck/demos/nc/xpi-demo.shtml

Hier gibt es die von Dir geforderte Konfigurierbarkeit.
(Edit - Preferences - Advanced - Software Installation)
Ich weiß aber nicht (mehr), ob das standardmäßig deaktiviert ist oder ob ich das irgendwann mal deaktiviert habe (ich schalt nur dann, wenn ich weiß, daß ich was installiere, kurz auf aktiv und sofort nach der Installation wieder auf inaktiv)

und eins für Opera:
http://www.heise.de/security/dienste/browsercheck/demos/op/odemo2.shtml.

Opera benutz ich nicht wirklich, hab ich nie zu mehr als Offline-Tests meiner eigenen Seiten genutzt.

1. Ein Button, mit dem ich JS direkt in der Kopfleiste des Browsers komplett an- und abschalten kann.

Im Mozilla: PrefBar installieren.

2. Bemühungen, Sprache und Browser sicherer zu machen, auch wenn man dafür auf einige Komfort-Feastures verzichten müsste.

An der Sprache liegt es m.E. nicht, eher an den Sicherheitslöchern der Browser. Die sollten natürlich entfernt werden.

cu,
Andreas