Denkt man und dachte bisher auch Microsoft. Aber was ist das Scrollen per Scrolleiste? Das funktioniert ja eigentlich auch wie Drag-and-Drop und deswegen kann man den o.g. genannten Bug auch wunderschön ausnutzen, ohne den Benutzer groß per Social Engineering davon überzeugen zu müssen, eine Drag-and-Drop-Aktion im Browser zu machen: Man sorgt einfach per JavaScript dafür, daß das Feld, in dem der User das Drop-Event ausführen soll, immer unter dem Cursor ist, wenn der Benutzer die Scrollbar benutzt und schon ist das "Loslassen" der Scrollbar ein Drop-Event. Und schon machen es viele Benutzer einfach irgendwann von selbst ohne daß man sie noch groß überreden muß...
P.S.: Und wer hätte gedacht, daß einmal diese netten kleinen Mausrädchen die Sicherheit eines Rechners erhöhen? Demnächst werden wir dann wohl auch Mäuse mit Rad als "Sicherheitsfeature" angepriesen bekommen... ;-)
|