Sind Zugriffe auf die Browser-History ohne Javascript machbar, oder ist man halbwegs sicher, wenn man selbiges ausschaltet?

Ohne JavaScript dürfte man beim History-Klau relativ sicher sein.

Die Funktionsweise dieser Seiten ist simpel: man erzeugt eine Menge versteckter iframes mit einschlägigen Seiten - z.B. XING. Wenn man dort ein Login-Cookie hat oder vergleichbares, wird dies Natürlich entsprechend verschickt. Dann kann man mit JavaScript wunderbar sämtliche Daten auslesen, sofern die Struktur der Seite bekannt ist.