Plugins sind der Angriffsvektor Nr.1.
Ja, mag sein, dass Plugins Nr. 1 sind, aber Nr. 2 ist dann wohl direkt der Browser selbst.
Grobe Browser-Lücken sind heutzutage selten zu erwarten und schnell gefixt.
Das ist leider lange nicht immer so. Und in der Zeit, in der die Lücke besteht bis zum Fix ist man dann ungeschützt. Die Aufdeckungen vom Hacking Team haben außerdem mal wieder gezeigt, dass in Hackerkreisen durchaus auch Zero-Day-Exploits längerfristig kursieren, ohne dass der Hersteller der Software davon weiß. Soll heißen: Lücke existiert, keiner außer den "Bösen" weiß es, die nutzen sie fleißig aus, aber ein Fix gibt es nicht, da der Softwarehersteller nichts davon weiß.
Was übrigbleibt ist 'böser JavaScript', der generell weniger ausrichten kann. Vielleicht leitet er dich um oder versucht dir einen infizierten Download anzudrehen. Aber einlassen musst du dich darauf noch selbst.
Leider ein alter Irrglaube. So sinnlos es ist, JavaScript abzuschalten (viele Funktionen auf vielen Websites gehen dann einfach nicht mehr), so gut eignet es sich für Hacker, um Sicherheitslücken auszuspionieren. Einfach per JavaScript einmal abfragen, welcher Browser in welcher Version mit welchen Plugins in welcher Version installiert ist, an den Server zurückschicken und der liefert dann die passende Malware via Zero-Day-Exploits oder via anderen noch nicht gepatchten Sicherheitslücken (weil der Fix noch nicht da ist oder noch nicht eingespielt wurde) an den Nutzer aus. Einen Download bestätigen braucht man dann nicht, dann bräuchte man ja keinen Exploit. Für den Nutzer sieht es so aus, als sei nichts passiert - im Hintergrund arbeitet dann schon längst der Virus/Trojaner/...
Bei nicht böswilligen Seiten sind 1st-Party Scripts generell dazu da um die Seite funktionieren zu lassen, und 3rd-Party Scripts helfen dabei, sammeln Daten und servieren Werbung. Bei einer reputablen Website tauchen erst gar keine böswilligen Scripts auf, denn dies unterliegt der Seite selbst. Selbst wenn eine Seite gehackt wurde und du an ein übles Script gerätst, hast du noch mehrere Zwischenschritte zum verseuchten PC die im Normalfall nicht mal 'eben so' überbrückt werden können.
Es wäre nicht das erste Mal, dass sich "Böswilliges" auch über Werbenetzwerke oder ähnliches in Websites rumtreibt. Da kann der Betreiber der Website dann nicht einmal was dafür, wenn jemand das im Werbenetzwerk eingeschleust hat. Und wie oben gesagt, z.B. ein kleines Script, was einmal die installierten Versionen von Browser und Plugins ausliest, das im Werbenetzwerk eingeschleust per Werbebanner ausgeliefert, an den Qualitätskontrollen beim Werbenetzwerk-Betreiber vorbeigerauscht und schon liefert es dir heimlich im Hintergrund einen Virus aus, ohne dass du was bestätigen musst.
Du bist sehr optimistisch - das ist hier aber leider glaube ich nicht ganz richtig.
Ich empfehle dir zu dem Thema die aktuelle c't (18/15). Da steht einiges über dieses Thema drin.
