Hallo wahsaga

Das, was du beim Bookmarklet noch für plausibel hieltest - dass es, obwohl aus zweifelhafter Quelle stammend, vom Nutzer selber eingebunden werden könnte - hältst du jetzt bei Benutzerstylesheets für ziemlich unwahrscheinlich?

Irgendwie bist du ein ziemlicher Wendehals ...

Sollte ich einen Menüpunkt 'User Style Sheet laden' übersehen haben?
Was muß ein Anwender tun, um sich ein user-css einzufangen?

Stell Dir folgendes Szenario vor:
Eine seriös aussehende Website, die mit geschicktem Marketing auf sich aufmerksam macht, bietet neben ~50 anderen, teilweise kostenpflichtigen Angeboten einen Link auf einen wirklich coolen Taschenrechner an - kostenlos! -, der seine Daten aus der aktuellen Website holen und auch wieder dort abladen kann. Gut durchdacht, schön anzusehen, einfach praktisch. Die Funktionsweise des Teils wird sehr anschaulich geschildert, ein kleines interaktives Tutorium etc. pp. Darunter der Tipp, daß Sie dieses nette kleine Helferlein künftig immer griffbereit haben können: Rechtsklick...

Äußerlich sieht der Link aus, wie Milliarden andere Links, nur daß er eben mit 'javascript:' beginnt. Aber das fällt nicht auf, denn man sieht es nur, wenn man ganz gezielt die Eigenschaften des Bookmarks ansieht (und sich nebenbei bei den Browsern eines namhaften Herstellers über die Winzigkeit des Fensterchens ärgern darf, in dem der Wurm angezeigt wird - nur weil die Jungs immer noch nicht begriffen haben, daß heutige Bildschirme deutlich größer als 640x480 sind...)

Doch zurück zu Fritzchen Müller, der auf die Seite gelockt wurde und dem das Ding gefällt. Er benutzt ihn und freut sich, wie schön das Rechnerlein funktioniert, erzählt Freunden davon etc. pp.

Da durch geschicktes Marketing ca. 1000 Fritzchen parallel für unsere seriöse Seite arbeiten, verbreitet sich das Wissen darüber.

Zunächst passiert auch überhaupt nichts - außer daß der Rechner rechnet und mittlerweile mehrere 1000 Fritzchen täglich sich darüber freuen. Dann kommen einige praktische Erweiterungen, u.a. eine Automatisierung für den Accountzugang. Immer noch hat niemand Grund zur Beschwerde. Nur ein ziemlich paranoider Informatiker meldet sich und sagt, das sei gefährlich... aber der wird in einschlägigen Foren von einer Horde begeisterter Fritzen niedergebrüllt.

Unser seriöser Site-Betreiber reibt sich die Hände und sagt seinem JS-Experten, daß jetzt die Stufe 2 des Projektes beginnt: Mit einer Wahrscheinlichkeit von 0,1% soll der Sever eine 'enhanced version' des Rechnerchens schicken, die sich ganz unverbindlich in dem Dokument umsieht, in das er injeziert wurde und wenn es eine Bankseite ist,  sich beim Server meldet, um weiteren, auf die jeweilige Bank zugeschnittenen Code nachzuladen.

Den Rest der Geschichte darfst Du Dir selbst zusammenspinnen...

So, aber nun mal ganz ehrlich: Glaubst Du allen ernstes, sowas sei unrealistisch und würde nicht funktionieren?

Gruß Houyhnhnm

PS.: Wenn Du die user-css-Sache in ein ähnliches Geschichtchen packen kannst, hast Du i.S. css gewonnen. Ich bin gespannt.