Van itt félreértés rendesen.
1.) Ma már alapfunkciója a böngészőnek, hogy kódot futtat!!! Ez nem hiba, egyszerűen ezt a feladata. Valahol az ActiveX és a java script környékén kezdődött, mostanra meg összeszámolni se tudom a különböző megoldásokat (alkalomadtán nézd meg az Internet Explorer beállításiban a Biztonság fülön az Egyedi szint beállításait, ott találsz egy listát).
Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.
2.) Megpróbálom megmutatni, hogy hol a hiba a nézőpontodban:
Van egy halom pénzem. Eldönthetem, hogy a párnám alatt tartom ( párna=böngésző) vagy berakom a bankba a páncél szekrénybe (bank=IT biztonsági szoftverek). A kispárnától nem várhatom el, hogy megóvja a pénzem a betörőtől (legfeljebb hogy ne legyen szemelőtt). Ellenben egy banktól elvárom, hogy betörő ide vagy oda, de megvédje a pénzem.
Vagyis a pénzem védelme nem a kispárnám, hanem a bank feladata.
3.) Annyiban viszont igazad van, hogy az alkalmazásokban sok a programozói hiba, illetve nem biztonságos programozói megoldás, amit kutya kötelességük javítani. És az is igaz, hogy a rosszindulatú kódok egy jó része az ilyen hibák kihasználására épül. De nem minden sérülékenység programozói hiba, és nem lehet mindent a böngészőre fogni. Erre mondtam azt, hogy nem elvárható és nem megoldható, hogy az autó ne hajtson bele a tömegbe.
4.) Rossz hírem van: nem létezik abszolút biztonság! Neked kell tudatosan odafigyelni az IT biztonságra: pl. telepíted a biztonsági szoftvereket, érdemben kezeled a riasztásait, telepíted a különböző frissítéseket, elkerülöd a gázos oldalakat, és a legfontosabb, biztonságtudatosan használod a netet.

Éld az életet, ne túléld!