1) Es ist wie beschrieben ein Proof Of Concept, habe da nicht an Xss Schwachstellen gedacht/geprüft, ist schließlich nur zum proofen gewesen die Dateien.
2)document.body.onload="inject()"; + inject(); macht sehr wohl sinn, da wenn man nur inject(); macht es 1. Versucht die Funktionen aufzurufen wenn die Seite noch garnicht geladen ist und 2. es ohne das inject(); und nur mit body.onload ebenfalls nicht geht, habe das getestet gehabt - funktionierte nur so bei meinen tests.
3)Kenne mich nicht besonders mit den Möglichkeiten von Greasemonkey aus, habe mich da auch nicht näher mit beschäftigt da ich das für meine Zwecke alles bisher nicht gebraucht habe und ich gut mit meinen normalen Js-Kenntnissen bezwecken konnte was ich wollte.

Ums nochmal zu erwähnen..es ist ein Proof Of Concept, die Dateien die ich Hochgeladen habe waren nicht auf vorhandene Bugs, Sicherheitslücken etc überprüft.
Sie waren nur so erstellt das sie das gewünschte bezwecken, cookies im hintergrund klauen. Und das macht das Script. Wenn man das wirklich im großen Umfang selber machen möchte (also nicht nur zum testen) sollte man sich seine Scripts etc sowieso selbst schreiben und nicht meine nehmen, ist dann Sauberer und Anpassungsfähiger.

lg