Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:

Bookmarklets

Das Prinzip ist bestechend: In einem Bookmark gibt man statt eines URLs einen JS-Ausdruck an. Klickt man das Bookmark an, dann wird der JS-Ausdruck ausgeführt.

Man kann den Effekt direkt ausprobieren, indem man z.B. folgenden Ausdruck als URL in den Browser eingibt:

javascript:alert("test")

So weit, so gut.

Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.

Das heruntergeladene Skript wird in den Kontext der aktuellen Seite geladen und hat Zugriff auf die zugehörigen Daten. Damit wird es möglich, über einen beliebigen Internetzugriff Daten als Parameter für ein URL an einen beliebigen Server zu senden.

Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)

Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!