Moin!

Und was hat nun JavaScript mit diesem Trojaner zu tun? JavaScript kann mit dem Trojaner nichts anfangen, weil es aus dem Browser nicht herauskommt und der Trojaner kann mit JavaScript nicht viel anfangen, weil er nicht an die JavaScript-API und -Interpreter des Browsers herankommt.

Das ist der Punkt, den Du nicht durchschaust. Denk mal drüber nach...

Ich habe darüber nachgedacht und bin zu dem Schluss gekommen, dass deine tolle Idee auf Browserbugs basieren muss, weil es anders ohne weiteres nicht möglich ist, einen Zusammenhang zwischen einem Bookmarklet und einem Trojaner herzustellen. Ich gehe doch wohl richtig in der Annahme, dass wir uns noch über Sicherheitsrisiken von JavaScript unterhalten? Ohne eine fehlerhafte Sandbox kommt JavaScript nicht aus dem Browser und ohne die Möglichkeit, den Code des Browsers zu manipulieren, was i.A. Super-User-Rechte erfordert, kommt der Trojaner nicht an den Browser.

Eine weitere Erklärung wäre, dass dein Trojaner das UI des Browsers manipuliert und somit den Bookmarklet-Aufruf abfängt. Ob es allerdings funktioniert, dass der Trojaner dabei unbemerkt bleibt …?

Im Übrigen scheint es mir so, dass dein anscheinend grauer Hut langsam schwarz wird.

Viele Grüße,
Robert