(...) Warum sollte man einer WWW-Seite die völlige Bösartigkeit unterstellen und sogar 100% ausschließen müssen, daß sie den Inhalt einer lokalen Datei mit bekanntem Pfad(!) liest(!) (und darum ging es ja wohl bei den zuletzt entdeckten JavaScript-Bugs), (...)

Nun, hier nur zu der Gefaehrlichkeit von Scripten, die bekannte Pfade auslesen.
Wie viele T-Online-User gibt es? Es sind doch wohl so 3,5 Millionen oder so?

Wie viele davon benutzen die T-Online-Software? Duerften viele sein. Wieviele davon haben es wohl im Standard-Verzeichnis installiert? Der Bequemlichkeit halber sicherlich fast alle.
Wie viele davon haben wohl ihr Passwort abgespeichert?
Bingo...
Wenn man es "vernuenftig" anstellt, kann man so auf Kosten anderer surfen. Da nunmal die T-Online-Gebuehren nicht mehr einzeln ausgewiesen werden, duerfte man so, wenn man vorsichtig agiert (2-3 Stunden mit jedem Account pro Monat) sehr lange unbemerkt handeln koennen. (Zumal ja nicht mal Telefongebuehren fuer den Missbraucher anfallen, oder?
Natuerlich ist es noch schlimmer, wenn man sich beliebige Freeware-Tools holt, klar. Aber dann muss man ja schon was leisten, damit es sich die Leute auch holen.

Wieso gibt es keine Sicherheitsstufen fuer Javascript? (Verbieten des Lesens/Schreibens ausserhalb bestimmter Verzeichnisse, etc...)