Ach Martin,

soweit ich mir selbst vertraue

wir beiden gehören (hoffentlich) zu den paar Millionen Menschen dieser Welt, die ihren Computer soweit im Griff haben, dass dieses Vertrauen gerechtfertigt ist.

Die übrigen dagegen sind froh, wenn sie eine Office-Anwendung erfolgreich bedienen können.

Diese Wissensdifferenz sichert unseren Lebensunterhalt…

Und im Gegensatz zu früher sind Browser für "die anderen" gemacht. Ich hatte auch eine Phase, in der ich mich darüber aufgeregt habe. Aber das ist 20 Jahre her.

Auf file:/// liegen viel zu viele vertrauliche Sachen herum, als dass man dort cross-origin Zugriffe einfach erlauben könnte. Stell Dir vor, du bist Marty McSure, Sachbearbeiter in einer Versicherung, und du bekommst von Trixi Tannen (die böse Schwester von Biff Tannen, natürlich) eine tolle HTML Datei mit einem Script drin, um einfacher irgendwelche Beiträge ausrechnen zu können.

Du bist begeistert und lässt sie täglich laufen (die HTML-Seite, nicht die Trixi). Und nun stell Dir vor, alles auf file:/// wäre der gleiche Origin. Boshafte Komponenten in Trixis Script können nun per fetch-API deinen ganzen PC ausforschen. Trixis Seite könnte auch noch Script vom Netz, aus file:///corp/public/trixtan/superscript.js nachladen. Und irgendwann ganz stiekum den echten Schnüffler scharfschalten.

Ja, ich weiß, Trixis Schwester Conny Swindleman-Tannen hat eine Excel-Datei erstellt, die diese Berechnungen noch viel besser ausführt. Und dank VBA kann sie Martys PC vieeel effizienter ausspionieren. Weil Excel überhaupt keine Hürden aufstellt, was VBA anrichten kann, sobald man es erlaubt hat.

Aber die Browser wollen sich diesen Mist nicht zuschreiben lassen müssen. file:/// ist nicht vertrauenswürdig. Punkt.

Rolf