servus,

Hallo,

Die Website ist in der Lage ohne Aktion des Users Befehle Auszuführen.

Das kann eine Webseite durch jede clientseitige Technik, also auch z.B. durch Java. Java hat aber lang nicht den schlechten Ruf wie JavaScript.

»»Z.B. können Formulare einfach abgeschickt werden.
Nicht ganz. Afaik wird jedesmal eine Meldung angezeigt, wenn man ein Formular abschickt, ob mit oder ohne JavaScript. Wenn ein Benutzer die überliest und trotzdem auf Ok klickt, ok, dann kann man nix machen.

»»Automatische Weiterleitungen sind auch sehr Beliebt.
Das geht auch mit Standard-HTML (siehe meta-refresh)

Vor knapp 2 Jahren ging es sogar noch das der Browser eine Textdatei von deinem Rechner ausliest und Automatisch abschickt.

Eben vor zwei Jahren. Als ich das erste Mal von Sicherheitsproblemen in JavaScript gehört habe (anno 2000, an der Uni in einer Vorlesung)
war JavaScript TATSÄCHLICH noch offen wie ein Scheunentor. Inzwischen hat sich in meinen Augen da aber viel getan.

»»Doch der größte Nachteil ist das javascript mit endlosschleifen den IE umlegen kann. Der erhängt sich dann spontan.
Die neuen IE-Versionen zeigen eine Meldung bei "langlaufen Scripten" an und fragen beim Benutzer nach, ob er das Skript beenden möchte.
Davon abgesehen: Ich hab mit ein paar fiesen CSS-Layouts auch schon sowhl Opera als auch den IE zum Schweigen gebracht, völlig ohne JS :)

Mein Tipp: Man kann so gut wie jedes Sicherheitsproblem lösen indem man nicht einfach auf jeden blinkenden link klickt. Saver surfen ;-)

Full Ack :)

Viele Gruesse,
Joerg