Aber das würde ja bedeuten, das ich KEIN PDF im Netz aufmachen dürfte - weil ich immer Gefahr laufe das das bösartig sein könnte?
So ist das im Allgemeinen auch. PDFs können massive Schadsoftware enthalten, PDFs sollte man nur öffnen wenn man dem Versender/Ersteller vertraut.
ABER Adobe arbeitet inzwischen mit ner Sandbox, d.h. PDFs bringen vielleicht den Reader zum Absturz machen aber nichts am System. Da gab es auch schon "Ausbrüche" (sie Alarm-Thread) aber... das ist schon mehr oder minder das was man machen kann (oder anderen Renderer nehmen).
Abgesehen davon sind pdfs doch lange nicht das einzige Sicherheitsrisiko, schließlich können doch allein schon einfache Links Gefahren bergen.
Ist das so? Also so richtig richtig gefährliche Links gibt es imho nicht mehr, dafür sind Browser heute einfach zu resistent. XSS kann einem natürlich passieren (ist aber auch schwierig) und alles andere ist eher n Problem der Plugins (also: Flash, PDF, Silverlight, Java...)
Sogesehen wäre das Einbinden von pdfs doch auch nicht mehr als ein zusätzliches Risiko - aber eben nicht ein nie da gewesenes. Oder sehe ich das falsch?
Jain. Der Unterschied, den ich sehe ist, dass man in dem einen Fall bewusst das PDF anklickt und runter läd und in dem anderen Fall nur den Thread öffnet (und eben nicht weiß dass man damit ein PDF öffnen wird).
Aber ich will mir das Plugin gerne mal anschauen was es macht, wenn man z.B. in den eigenen Einstellungen das auch unterdrücken kann wäre es schon sehr okay. Außerdem weiß ich nicht was für ne Technik die da benutzen. Wenn das einfach nur <embed>ed oder <object>ed wird, dann isses eigentlich auch Wurst, denn jeder kann sein lokales PDF-Plugin ja deaktivieren wenn er sowas nicht mag (bei mir ist es z.B. so). Wenn das erst in bbCode oder HTML umgerendert wird wäre es eigentlich noch cooler
Edit: Formatierungsfehler