Hellihello

So wie ich die MS-Seite verstanden habe, könnte man in die HTA aber auch Webseiten von fremden Domains hineinladen.

Klar, so hab ich es geschafft, den Login für mein onlineBanking zu automatisieren.

Du _könntest_ aber auch mit den Cookies von der anderen Domain arbeiten - "HTAs allow cross-domain script access between window objects and cookies."

Was doch heißt, dass es gehen müsste, dachte ich

Also, wenn die HTA ihre Cookies permanten irgendwo ablegen könnte - wo sollte das sein? Ins Cookie-Verzeichnis des IE sicher nicht - denn das wäre ja wieder eine gefährliche Vermischung.

Na, eine hta wird ja nur downgeloaded ausgeführt und ist gefährlich. Da Du via Javascript/JScript alles machen kannst, incl. das aufrufen von Shell Commands konnte ich mir nicht vorstellen, dass das einfache setzen eines Cookies nicht möglich wäre. Den kann ich ja sowieso setzen, indem ich in ein Frame eine andere HTML-Datei packe, und diese Anweise per Javascript, ein Cookie zu setzen. Same Origin Policy kennt hta nicht. Vielleicht liegt es ja daran, dass die .hta in dem Sinne keine Domain zuzuordnen ist?

Dank und Gruß

frankx