Moin!

OK, fassen wir als zusammen: Es ist möglich, ein Bookmarklet zu erzeugen, welches Code aus einer externen Quelle nachlädt. Diese Funktion sollte, um versteckt zu bleiben im hinteren Teil des Bookmarklet-Codes notiert werden, wobei man mit etwa 100 Zeichen notwendigem Code, was den noch nutzbaren Bookmarklet-Code auf unter 400 Zeichen beschränkt, auskommen muss. Folglich scheint es so zu sein, dass man sich entscheiden muss, ob man in den Genuss von Bookmarklets kommen oder einen sicheren Browser haben möchte (Deaktivierung von Skripten auf der Client-Seite), was dann auch gegen XSS immun macht.

Falls man doch lieber von Bookmarklets profitiert, ist es unverzichtbar, sicherzugehen, dass der Code gutartig ist, was bei JavaScript durch die Eigenschaft des grundsätzlich offenen Quellcodes problemlos möglich ist; kritisch wird es bei der Verwendung des Internet Explorers, da es dort auch codierte Skripte gibt (*.vbe bzw. *.jse). Ansonsten bieten Bookmarklets den „Vorteil“ gegenüber XSS, dass man den Code vor seiner Ausführung begutachten kann, wobei man die Finger von Bookmarklets lassen sollte, die Code aus dem Internet nachladen.

Allerdings ist anzumerken, dass (im Idealfall) JavaScript in einer Sandbox lediglich innerhalb des Browsers läuft, Angriffsmöglichkeiten beschränken sich daher auf XSS-ähnliche Szenarien. Bleibt also anzumerken, dass man auch in Zukunft sicherheits-relevante Seiten wie Online-Shops oder Banken besser noscript besucht.

Viele Grüße,
Robert