Du hast zwar nicht Unrecht, aber das ist vom Prinzip her ja abhängig von den Seitenbetreibern, was für externe Inhalte eingebunden werden.
Und Schadcode könnte auch in Inhalten sein, die auf keiner Adblock- und Tracker-Liste stehen.
Es ist zwar eine gute Heuristik, uBlock origin o.ä. zu nutzen, aber technisch gesehen führst Du doch immer den Code der Seite, die Du besuchst, aus.
Entweder es gibt jetzt eine Lücke in der JS-Sandbox, oder die Seite erlaubt aktiv (CORS) fremden Quellen, durch Skripte Daten abzugreifen, die vom Nutzer eigentlich nur für die gerade besuchte Seite gedacht waren.
Beides kann kein Adblocker prinzipiell verhindern.
Für mich ist das Grundproblem, dass es erlaubt wird, Nutzern zu verbieten, die Datenübertragung von und zu Onlinediensten mittels Adblocker zu manipulieren.
Das zu verbieten widerspricht aus meiner Sicht eigentlich grundlegenden Freiheitsrechten.
Anbietern steht es frei, beliebige technische Barrieren zu errichten.
Aber Nutzer dafür zu bestrafen, den Download oder die Ausführung von Teilen einer Website zu verbieten, ist halt totalitär.
Ähnliche Problematik wie bei früheren "Hackerprozessen", oder auch aktuell bei Security Research, oder?
Fair, ich bin ja grundsätzlich sowieso der gleichen Meinung, dass kein Nutzer gezwungen werden darf, die Ausführung von Code auf Websites nach seinem eigenen Belieben zu steuern.
Mir war nur nicht ganz klar, was Du mit dem Ausführen von Schadcode genau meinst, abgesehen von eben Sachen wie Drive-By-Exploits, Cross-site-Tracking und ggf XSS durch das Einbinden von JS aus fremden Quellen via Ad Network.
Dein Beispiel mit der Phishingmail und Clickjacking auf der verlinkten Seite ist eine perfekte Ergänzung, um den Punkt klarer zu machen, wie Schadcode in JS aussehen kann, ohne Zero-Days und Sandbox-Escapes usw.
👍