Hallo,

Allerdings ist es wahrscheinlich mit JScript (der Javascript-Implementierung des IE) in Verbindung mit ActiveX möglich, also einer wahrhaft bösen Kombination, mit der ein IE wirklich alle Risiko-Scheunentore weit offenstehen hat.

Ehrlich gesagt finde ich solche Kommentare mittlerweile peinlich, zeugen sie denn von einem Halbwissen, das es sich gemütlich macht. Aussagen über die konkreten Sicherheitsprobleme werden nie gemacht. Trotzdem reden alle davon, dass sowas »wahrscheinlich« möglich ist, klar, selbstverständlich, wegen den Scheunentoren, wissen wir ja alle. Gut, man kann natürlich bei diesem Laienverständnis stehenbleiben. Aber wo sind die JScript- und ActiveX-Spezialisten, die wirklich mehr als diese generischen Aussagen drauf haben? Da hat dieses Forum einfach eine Lücke, niemand scheint sich da wirklich auszukennen.

Auch z.B. im Firefox ist es meines Wissens möglich, mit JavaScript alle (bzw. die für den Benutzer zugänglichen) Daten der Festplatte zu lesen, zu ändern und auch zu löschen. Warum sollte da nicht der Benutzername und der Product-Key auslesbar sein. Dazu braucht das Script »nur« entsprechende Rechte, die es sich regulär nicht beschaffen kann. Ich nehme an, der IE hat ähnliche Mechanismen, die erst einmal greifen. Dann gibt es einerseits Designfehler und andererseits Bugs. Also müsste man näher die Sicherheitsmodelle untersuchen. Wer kann, bitte vortreten! Vielleicht hat mal jemand in dem Bereich wirkliche Ahnung und bringt dieses Wissen hier ein, anhand konkreter Analyse und konkretem Code etwa.

Dies ist ein allgemeines Posting.

Mathias