Hallo,

mit Deiner Argumentation, daß lokale Scripts ein größeres Sicherheitsrisoko darstellen, hast Du zwar recht, aber wie der IE das macht, ist es dennoch völlig unlogisch.

Ja, das stimmt.

Denn über den "mark of the web" wird dieses Feature ausgehebelt. Dieser Kommentar kann zum einen per se in ein Schaden zufügendes HTML-Dokument geschrieben werden und zum anderen setzt der IE ihn selbst ein, wenn das Dikument lokal gespeichert wird. Wo bleibt hier die zusätzliche Sicherheit?

Zusätzliche Sicherheit gäbe es tatsächlich erst, wenn lokale Scripte unter Generalverdacht stünden. Eine Art MOTW könnte beim Speichern aus dem Intert höchstens in Form einer kryptographischen Signatur eingefügt werden, zusätzlich ein Dateiattribut, das die Herkunft anzeigt. Zudem dürften solche Scripte keinen Zugriff auf lokale Dateien bzw. Scripte im Internet haben.

So hätten wir die Offline-Version von SELFHTML direkt mit dem MOTW versehen (und theoretisch damit auch schadhafte Scripts verbreiten) können.

Ja, mich wundert, dass diese Technik noch nicht ausgenutzt wurde. Soweit ich mich erinnere, funktioniert das Auslesen der Festplatte in meinen Tests auch im MSIE.
Es gab einmal einen Fall im Opera:
http://www.heise.de/security/news/meldung/64099
»Dieses Script hat nun lokale Zugriffsberechtigungen und kann Dateien lesen, schreiben und auch übertragen.«
Das Schreiben ist zwar Bullshit, wie ich dem Redakteur auch mehrfach mitgeteilt habe (der faselte mich mit der ActiveX-Technik Scripting.FileSystemObject voll - das kennt Opera gar nicht), aber der Satz weist auf das besagte generelle Problem hin. Sobald erst es einmal ein Script in die lokale Zone geschafft hat, kann es sich dank XMLHttpRequest durch die Text- und Binärdaten wühlen, sie kodiert in ein Formularfeld schreiben und schließlich versenden.

Mathias