Hallo,

Wie sollten sie? Scripte, die lokal auf meinem Rechner liegen, habe ich doch vollständig im Griff und kontrolliere sie, bevor ich sie ausführe - im Gegensatz zu Online-Inhalten, denen ich auf Treu und Glauben ausgeliefert bin.
Tja, deine Fanatsie scheint in dieser Hinsicht nicht gross genug zu sein, es gab einige Lücken, wo dir von einem Server Skripte lokal eingeschleust wurde, die dann mit den lokalen Rechten ausgeführt werden konnten (Es finden sich einige ältere Lücken bei heise).

keines der auf der Heise-Seite verlinkten Beispiele schlägt bei meinem alten IE5.5/SP2 an. Sie bewirken bei mir entweder gar nichts, weil ich kein ActiveX zulasse, oder sie bewirken nichts, weil ich online kein Javascript zulasse. Keines der aufgezählten IE-Probleme manifestiert sich bei mir als Problem. Lediglich beim letzten Punkt ("gefälschte URLs") fällt mein IE drauf rein - als aufmerksamer Surfer macht es _mich_ aber stutzig, dass die URL in der Statuszeile ohne abschließenden Slash angezeigt wird, und das ist höchst verdächtig.
Die WMF-Datei, die ein Problem demonstrieren soll, möchte mein IE übrigens einfach speichern, weil er mit dem Inhalt nichts anfangen kann. Also auch unbedenklich.

Das bestätigt mich eigentlich in der Aussage: ActiveX generell aus, Javascript im Web auch aus, solange ich die Seite nicht selbst untersucht und das dort verwendete JS ausdrücklich für gut befunden habe.

Es muss ja noch nciht mal eine Sicherheitslücke sein, wenn unbedarften Anwendern eine vermeintlich harmlose JS Datei untergejubelt wird, es gibt ja oft genug die Meinungsäußerung das JS prizipiell harmlose wäre.

Diese Meinung teile ich nicht. Beim IE schon gleich dreimal nicht, weil JScript da viele Möglichkeiten hat, von denen ich gar nicht träumen möchte; aber auch in anderen Browsern hat JS noch genügend Potential, um zwar keinen Schaden anzurichten, aber dem Besucher gehörig auf die Nerven zu gehen.
Schade um die wenigen Seiten, wo JS wirklich sinnvoll und hilfreich angewendet wird.

So long,
 Martin