Ja, en die stap 3 lijkt me ook iets te hoog gegrepen voor onoplettende beginners
Dat doet het Java-applet voor jou. Als je een Java-applet (of JNLP-applicatie) standaard draait, kan het nergens aan. Een Java-applet of JNLP-applicatie kan echter vragen om meer (of volledige) rechten te krijgen tot je computer. Op dat moment is het gewoon een applicatie die op je computer met user-rechten draait en overal aankan, dus ook code kan uitvoeren.
Ik kan een webpagina maken waar je gewoon op een knop klikt en ik kan dingen op je computer beginnen doen. Als je een duur genoeg certificaat koopt, toont Java zelfs het toestemmings-dialoogje niet meer (maar dan kan je geen rare dingen gaan uithalen, want dan wordt je certificaat ingetrokken).
Andere opties zijn om via een Flash-exploit binnen te geraken (altijd genoeg!), via een PDF-exploit (voor browsers die dat native lezen, of zelfs voor gewone desktop-readers), of gewoon een JavaScript-exploit (maar die zijn er minder).
Of je kan gewoon via social engineering de gebruiker doen denken dat hij een wallpaper, thema, spel, of ander legitiem pakket aan het installeren is.