Hi,

Es geht nicht um die Sicht des Benutzers, sondern um die des Erstellers der Seite.

Wie? Bei der Sicherheit geht es nicht um die Sicht des Benutzers?

Ich bezog mich mit der Aussage auf die SOP.

Wenn ein externes Script mit den gleichen Rechten arbeiten kann wie eines von meiner Seite, ohne dass der Benutzer irgend etwas davon mitbekommt, wenn es auf die Cookies Zugriff hat, beliebeige Daten vom DOM lesen (auch von Formularen) und irgedwohin verschicken kann, das DOM umbauen kann, dieselben Rechte auch anderen Scripts von irgendwoher gewähren kann...

Ob meine Kreditkartendaten von einem Schurken aus Russland, oder von Don P missbraucht werden, ist für mich als Nutzer vollkommen ohne Belang.

Du kannst sie auch offline weitergeben, ohne dass dafür irgendwelche irgendwo eingebundenen Scripte nötig wären.

Wohlgemerkt: Der Butzer merkt davon *nichts*. Er vertraut vielleicht mir, aber vertraut er auch den anderen, die da noch mitmischen, wenn ich ihm gar nichts davon sage und es evtl. selber gar nicht weiß, weil die gestern noch so lieb waren wie Google und morgen vielleicht...

Du siehst, es läuft letztendlich darauf hinaus, wie vertrauenswürdig du als Seitenbetreiber für mich bist.

Ein externes Script befindet sich nur dann in deiner Seite, wenn du es bewusst dort eingebunden hast. (Sofern wir mal davon ausgehen, dass deine Seite keine XSS-Lücken aufweist.)

Wenn ich aber ein File-Upload-Feld in meine Seite baue, dann rufst du schon "Sicherheitsproblem!" und "woher weiß ich denn, dass da nicht etwas heimlich hochgeladen wird?" usw.

Ein Upload von Dateien von meinem Rechner auf deinen Server setzt aus gutem Grund mein explizites Einverständnis voraus.

Sorry, das kann ich nicht ernst nehmen.

Das Problem habe ich mit dir auch, wenn du dich so hartnäckig weigerst zu erkennen, dass du verschiedene Sachverhalte in einen Topf schmeisst.

MfG ChrisB