Gleichzeitig erweist sich die enge Desktop-Integration aber immer wieder als eine wesentliche Ursache von Sicherheitsproblemen. Microsoft spielte im Browser-Krieg die Verzahnung mit Windows als Wettbewerbsvorteil gegen Netscape aus und ignorierte dabei oft die Gefahren eines öffentlichen Netzes. Als besonders riskant gilt es, ausführbaren Windows-Code über das Web zu laden, vom Browser installieren und starten zu lassen. Genau das tun Active X Controls. Der IE kann zwar solche Komponenten abweisen, wenn sie aus nicht vertrauenswürdiger oder unbekannter Quelle stammen. Die Entscheidung, ob Programme von zweifelhafter Herkunft ausgeführt werden, wird dann aber dem Benutzer mittels Dialogfenster überantwortet.

Desktop-Integration als Risiko

Die meisten Sicherheitsratschläge zum IE empfehlen mittlerweile, das Active-X-Feature komplett zu deaktivieren. Dafür plädierte auch das US-Cert mehrmals. Um zumindest solche Komponenten ausführen zu können, die vom lokalen Rechner oder aus dem Intranet stammen, führte Microsoft für den IE ein Zonenkonzept ein. Demnach unterteilt sich die Welt in das Internet, Intranet, vertrauenswürdige und nicht vertrauenswürdige Sites.

Jede Parzelle der virtuellen Welt sollte anhand separater Sicherheitsrichtlinien konfigurierbar sein. Bestimmte Dinge - wie das Ausführen von Active X Controls - könnten dann im Intranet zulässig, aber im Internet verboten sein. Auf diese Weise sollte ein sicheres Surfen im Web und gleichzeitig eine enge Integration des IE mit dem Desktop möglich sein. Mehrere Sicherheitslecks stammen aber daher, dass Angreifer die Trennung zwischen diesen Zonen unterlaufen können.

Auch die Lücke des IE, nach deren Entdeckung das US-Cert alternative Browser empfahl, fällt unter diese Kategorie. Dem IE wird dabei vorgetäuscht, dass aus dem Internet geladener Code der vertrauenswürdigen Intranet-Zone entstamme. Da das Service Pack 2 für Windows XP den lokalen Rechner als nicht vertrauenswürdig erklärt, kann man das Zonenmodell als gescheitert ansehen. Damit erleidet die Desktop-Integration des IE einen erheblichen Rückschlag.

Mit Mozilla und Opera stehen zumindest zwei veritable Alternativen zum IE bereit. In der Vergangenheit fielen sie durch erheblich weniger Sicherheitsmängel auf als ihr Gegenstück aus Redmond. Sie zeichnen sich zusätzlich durch eine bessere Unterstützung von offenen Web-Standards aus und haben den IE bei vielen Features abgehängt. Microsofts Browser kam nämlich in der aktuellen Version 6.0 bereits vor drei Jahren auf den Markt, während die Alternativ-Browser laufend weiterentwickelt werden.