Výchozí nastavení ve Windows XP SP2 je už relativně slušné (a ve Windows Server 2003 SP1 je IE skutečně fest zabezpečený). Problém je v tom, že typický luser ze živě

a) má Service Pack 1 a žádé hotfixy
b) tudíž má v IE díry za pět let nazpět
c) leze na stránky z warezem
d) instaluje trojany kteří mu nastavení IE změní případně si rovnou doinstalují pár set spyware
e) je zvyklý ještě z Windows 98 že Windows nemají zabezpečení a neví o tom že systém jde zabezpečit
f) je mu to úplně jedno že šíří viry, však on "na počítači nic důležitého nemá a pak stejně přeinstaluje"

Takový člověk přirozeně neví co jsou bezpečnostní zóny, protože je mu to úplně fuk.

ActiveX není špatná věc, špatná je jeho implementace v IE. To že je třeba Flash nebo PDF prohlížeč implementovaný jako ActiveX je průšvih, proto musí být zapnutý i v zóně Internet.

Ad boží zásah: ve Vistě běží IE se sníženými právy oproti uživateli který ho spustil, pokud chceš (přibližně) vidět jak se to bude chovat už teď v XP, spusť si IE přes Process Explorer, volba "Run As Limited User"

PS. připravuju pro Poradnu článek o step-by-step nastavení IE