Browser sind Programme, die in erster Linie HTML-Dateien aus dem Internet herunterladen, diese einlesen und sie als Webseiten dem Betrachter grafisch anzeigen. HTML selbst ist als einfache Auszeichnungssprache ungefährlich, folgende Erweiterungen können aber ein Sicherheitsrisiko darstellen:

Java-Applets werden von Browsern mittels einer integrierten Virtual Machine (VM) in einer sogenannten Sandbox ausgeführt, so dass sie außerhalb dieser keine Schaden auf dem Rechner anrichten können. Allerdings treten bei älteren VM auch Sicherheitslücken auf, so dass es sich empfiehlt die neueste Java VM zu installieren (siehe Linkliste)

JavaScript wurde von Netscape in Anlehnung an die Programmiersprache Java entwickelt, und wird auch von anderen Browser ausgeführt, wenn auch nicht immer in vollem Umfang. Microsoft hat darüber hinaus für den Internet Explorer eine eigene Variante entwickelt: JScript. Im Gegensatz zu JavaScript wird JScript nicht in einer abgesicherten Sandbox ausgeführt.

ActiveX-Controls und Visual Basic Scripts (VBS) wurden von Microsoft entwickelt, und werden von anderen Browsern als den Internet Explorer nicht ausgeführt (Netscape-, Mozilla- und Opera-User sind von möglichen Sicherheitslücken also grundsätzlich nicht betroffen). Bei Visual Basic Scripts ist - ähnlich wie bei Jscript - Vorsicht geboten. ActiveX ermöglicht es, ohne Einschränkung auf den Rechner zuzugreifen, und sollte nur auf Nachfrage ausgeführt werden. Insbesondere Auto-Dialer nutzen ActiveX, aber auch Trojaner wie QHosts-1 können über Sicherheitslücken des Internet Explorer auf den Rechner gelangen, wenn ActiveX aktiviert ist.

Darüberhinaus gibt es weitere sogenannte Plug-ins, die man sich von der Webseite des jeweiligen Herstellers hernterladen kann. Weit verbreitet sind Macromedias Flash-Player und Adobes Acrobat Reader für PDF-Dokumente. Beim Internet Explorer werden die Plug-ins leider nur mittels des bedenklichen ActiveX ausgeführt. Unnötigerweise, denn bei Mozilla, Netscape und Opera arbeiten diese einwandfrei ohne das Sicherheitsrisiko ActiveX. Abhilfe schafft hier das Tool c't-IEController 2.0 (siehe Linkliste), welches sicherheitskritische aktive Inhalte im Internet Explorer blockiert, aber zugleich die Ausführung von Plug-ins ermöglicht.

Entwickelt wurden diese Scripts und Plug-ins, um das Browsen im Internet komfortabler zu machen, denn HTML war ursprünglich nur dazu entwickelt worden, Information strukturiert anzuzeigen und zu verknüpfen. Dynamische Effekte einer Website ließen sich damit z.B. nicht oder nur bedingt umsetzen. Der User steht somit immer vor der Frage, ob er eher auf bestimmte Funktionen und Effekte verzichten möchte oder eher das Risiko eingehen möchte, dass diese auch missbraucht werden können, wenn z.B. mittels JavaScript im Schneeballsystem neue Browser-Fenster geöffnet werden. Zwei bis vier Möglichkeiten hat man je nach Browser:

1. Die Erweiterung grundsätzlich nicht zulassen. Nachteil: möglicherweise werden viele Websites nicht richtig funktionieren.

2. Die Erweiterungen grundsätzlich zulassen. Nachteil: man setzt sich beim Surfen vielerlei Risiken aus, kann sich z.B. mittels JavaScript und ActiveX einen Dialer auf den Rechner holen, um nur ein Beispiel zu nennen.

3. Man lässt sich jedesmal im vorhinein abfragen, ob man z.B. ein Java-Script zulassen möchte oder nicht. Nachteil: man ist beim Surfen oft sehr viel damit beschäftigt eine Vielzahl von nervigen Abfragen zu beantworten.

4. Verschiedene Browser bieten unterschiedliche Konzepte für differenziertere Einstellungsmöglichkeiten. Beim Internet Explorer 6 können einzelne Sites bestimmten Sicherheitszonen zugeordnet werden. Für die Zone der vertrauenswürdigen Sites kann man dann andere Einstellungen vornehmen als für die Zone der eingeschränkten Sites oder für alle übrigen Sites. Der Browser Opera dagegen ermöglicht über die Schnelleinstellungen einen relativ schnellen Wechsel für einzelne Einstellungen.

Empfehlenswert ist es, die Einstellungen so zu wählen, dass der Browser nur das Notwendige ausführt, im Kapitel Browser-Sicherheit finden sich detaillierte Anleitungen für Internet Explorer, Mozilla (Firefox), Netscape und Opera. Insbesondere ActiveX sollte man nicht ohne Nachfrage ausführen lassen, aber auch bei JavaScript und VBS sind Vorsicht geboten. Darüberhinaus ist es ratsam, Sicherheitslücken im Browser durch sogenannte Patches ("Flicken") zu schließen. Die Browser-Hersteller bieten Sicherheits-Patches mehr oder weniger regelmäßig auf ihren Seiten zum kostenlosen Download an, oft auch enthalten in der neuesten Update-Version des Browsers.