hi,

Und aus einem "normalen" Browserfenster kannst du HTML-Elemente ja schließlich auch schlecht herausschieben, oder?

Doch. Beim letzten Phishing-Angriff auf uns wurde ein Element über die Adressleiste gelegt. Funktionierte natürlich nur in (nicht ganz aktuellen) IEs.

War das vielleicht eher ein eigenes Popup als "chromeless window", welches da über der Adresszeile platziert wurde?

gruß,
wahsaga