Ganz einfach, hätte ich fast gesagt - nämlich einmal über die Eingabe von:
Okay, also tatsächlich so kompliziert, wie ich es mir über die Konsole vorgestellt hatte. Der „normale” Weg, solche Optionen zu verändern, wäre about:config. Dort kann einfach per Doppelklick auf die entsprechende Zeile zwischen aktiviert und deaktiviert gewechselt werden.
About:config kenne ich natürlich, ist mir aber zu umständlich & zu hampelig.
undefined ist zwar etwas seltsam
Die Konsole gibt immer den Rückgabewert aus. Die „Rückgabe” wird auch durch das Pfeil-Symbol nach links symbolisiert. Und die Funktion setBoolPref() hat keinen Rückgabewert. Demnach ist undefined das erwartete Ergebnis.
Das ist absolut nachvollziehbar.
Was den besagten Bedarf angeht, pflege ich Javascript - eigentlich - immer nur bei Vorliegen zweier Voraussetzungen einzuschalten
Ich vermute mal, dass das auf der völlig veralteten Denkweise beruht, dass JavaScript etwas Schlechtes sei. In den Anfangszeiten des Internets war das eine verbreitete Sichtweise. Heute ist das freundlich ausgedrückt ein Mythos. JavaScript ist ein wesentlicher Bestandteil der Webplattform, der auf einer Stufe mit CSS und Bildern steht.
Es sei Dir natürlich unbenommen, dass Du die Denkweise als völlig veraltet ansiehst. Aber es genügt mir zu wissen, dass ich damit offensichtlich nicht völlig alleine zu stehen scheine, sonst gäbe es ja kein NoScript-AddOn.
Wie richtig das tatsächlich ist, musste ich Anfang Januar erkennen
Deine Schlussfolgerung ist falsch. Ja, über JavaScript können Sicherheits-Thematiken entstehen. Es gab aber auch schon Sicherheitslücken in CSS und in den Bild-Dekodern. Und ich vermute mal stark, CSS und Bilder schaltest du auch nicht nur bei Bedarf ein. Wie kommst du also zur Annahme, dass JavaScript Schuld an deinem Befall war? Folgendes kann es jedenfalls nicht sein:
...
Weiterleitungen können auch via HTML oder sogar serverseitig erfolgen. Weiterleitungen sind nicht zwingend auf JavaScript zurückzuführen.
Natürlich hast Du mit der letztgenannten Feststellung recht, und auch - um vorgreifend auf Dein weiterhin Gesagtes Bezug zu nehmen - kann zusätzlich zu HTML sicherlich auch auf Grundlage von CSS jede Menge Schindluder getrieben werden. Deine überaus positive Haltung zu Javascript war mir schon früher aufgefallen, & die sei Dir auch völlig unbenommen. Vllt. verdienst Du ja auch in einem weiteren Rahmen im Zusammenhang mit dem WWW Deinen Lebensunterhalt. Da kann ich mir dann schon vorstellen, dass die gewerbliche Wirtschaft größtes Interesse an den durch Javascript eröffneten Möglichkeiten für Werbung etc. im WWW hat. Und wenn mein Pastor die Kirche voll haben will, ist es bestimmt auch besser, nicht zuviel Kritisches zum christlichen Glauben oder über die Amtskirche zu sagen 
Aber zum Kern des Th. zurückkommend, sei nun noch zweierlei gesagt, nämlich dass man vernünftigerweise
a) sich natürlich erstmal *alle* in Betracht kommenden mgl. Vektoren / Hilfsmittel vor sein geistiges Auge holen wird. Und zu denen dürfte ja - ungeachtet Deiner diesbzgl. überaus positiven Grundhaltung - ohne jeden Zweifel eben auch Javascript gehören (die zahlreichen, aufgrund des eingebauten JIT-Compilers für Javascript zusätzlichen Einfallstore für MW lasse ich mal beiseite, und auch einen ganz wesentlichen weiteren Beweggrund, Javascript abzuschalten, nämlich (s. o.) dadurch von einem Großteil der Werbung verschont zu bleiben... )
b) im übrigen ist es dann wohl einfach so, dass wir eben andere Haltungen & Herangehensweisen an das Thema Vorsorge bzw. »Sicherheit« haben... Natürlich kann man so an das Leben herangehen, dass man - um nicht die Litanei der it-technischen Möglichkeiten wieder aufzuwärmen & stv. für vieles andere - sich einfach sagt: Die Gefahren, denen ich ausgesetzt bin sind so zahlreich & vielfältig - wozu bitte soll ich denn i. S. Ernährung auf meinen Cholesterin-, Blutzucker-, Alkohol- oder was auch immer sonst für einen -Spiegel achten? Wenn ich morgen von einem Auto überfahren oder einem Meteoriten getroffen werde, habe ich da doch gar nichts von. Also lasse ich das alles bleiben. Kann man sicher so machen...
immer nur bei Vorliegen zweier Voraussetzungen einzuschalten, nämlich dass: […] 2. Ich der jeweiligen Seite über den Weg traue
In der Theorie gut gedacht. In der Praxis werden es Angreifer aber auch auf die vermeintlich vertrauenswürdigen Websites absehen, um diese zu kompromittieren. Das siehst du als Nutzer nicht. Dadurch kann die Gefahr dort sogar größer sein, weil du der Seite ja vertraust und deswegen mit ihr interagierst, während du eine offensichtlich uneriöse Website vermutlich sofort schließst. Insofern würde ich die eigene Beurteilung der Website als Beurteilungskriterium nicht zu hoch bewerten.
Ack. Aber was soll man sonst machen? Ignorieren?
Bezogen auf die Angriffssituation selber ist sicherlich klar, dass man da jetzt nichts mehr aus dem Log herauslesen kann. Das abzuspeichern hatte ich nicht unmittelbar auf dem Schirm
Selbst, wenn du auf dem Schirm gehabt hättest: Wenn die Konsole zum betroffenen Zeitpunkt nicht bereits geöffnet war, hätte es dir nichts gebracht. Du erhältst in der Konsole keine Meldungen rückwirkend. Und auch dann wäre es immer noch höchst zweifelhaft, dass in der Konsole irgendetwas gestanden hätte, was für dein Anliegen relevant ist.
...
Zunächst einmal würde die Konsole nur Meldungen der Website ausgeben, nicht von irgendwelchen Rootkits auf deinem System. Als nächstes wäre festzuhalten, dass die Browser-Konsole keine „Fremd-Server-Kontakte” loggt, dafür gibt es andere Werkzeuge. Gleiches gilt für sogenannte Payloads von Anfragen. Und „mißglückte heimliche Skriptausführungen” (sic!) sind für dein Problem nicht entscheidend. Wenn überhaupt, wären es die geglückten. Und die geben in der Browser-Konsole nichts aus.
Tja - und da bin ich - schwupps - wieder bei meinem dem AP zugrundeliegenden Wunsch, dass ich gerne in weitaus größerem Umfang in der Lage wäre, die Konsolenmeldungen auszuwerten, als ich ggw. bin
- wobei ich jetzt doch noch einen kleinen Punkt hätte, der mir soeben über den Weg gelaufen ist.
a) Vllt. ist es natürlich so, dass Deine obigen Aussagen - zusammengefasst etwa: Die Konsole zeigt keinerlei sicherheitsrelevante Informationen an - sich *ausschließlich* auf Firefox beziehen; dann würde ich mir den flgd. Punkt b) natürlich sparen.
Falls aber nicht - & auch wenn ich kein Chrome benutze - sei gesagt
b) Lt. Reddit wirft die Chrome-Konsole sehr wohl Warnmeldungen aus etwa in dem Fall, dass ausgehend von einer Website XSS-Versuche in Richtung des aktuellen Browserbenutzers erfolgen bzw. erfolgt sind. Genau solche Sachen interessieren mich aber, & woher weiß ich nun, dass vllt. Firefox im Ggs. zum m. W. auf derselben Basis fußenden Chrome nicht nur keine XSS-Warnungen, sondern *grundsätzlich keinerlei* Fragwürdigkeiten auf Webseiten zu protokollieren pflegt?
Mal abgesehen davon, dass ich nicht verstehe, was das für ein „Bedarf” sein soll.