信用できない理由はなに？

最新の情報ではないのでIE6のちょっと前のﾊﾞｰｼﾞｮﾝの話だと思ってください。

どうしたって私はIEを使う機会が多いんです。なので、よく使うウェブメールとか他のサービスとかを信頼済みサイトゾーンに入れます。で、信頼済みサイトゾーンのセキュリティレベルはインターネットゾーン並にします。そして本来のインターネットゾーンのセキュリティレベルは、制限つきサイトゾーン並にします。（これ定石）

でも、信頼済みサイトゾーンのセキュリティレベルを既定値のままにしている人もいるかもしれませんし。

で、XHRですよ。これ、いやなんですよね、心配しすぎ？

サイトＡとサイトＢとがともに信頼済みサイトゾーンに設定してあったとします。私はサイトＡを開きつつ別ウィンドウ（もしくは別タブ）にてサイトＢを使うかもしれません。サイトＡにXSS脆弱性があったとして（私は気をつけて検査しているつもりでしたがみつけられず、別な人から注意勧告のメールをもらったことがあります。とにかく個人レベルでは全てを発見することは無理。）その脆弱なサイトＡに悪意あるXHRを埋め込まれていたとします。で、このXHRからはサイトＢへのアクセスが出来てしまうのですよね、確か。信頼済みサイトゾーンの恐怖。ログオン中のサイトＢに関する秘密情報が抜かれるのかどうかわかりませんが、とても恐ろしい気がします。

IEの信頼済みサイトゾーンにおけるXHR、いやなんですよね。たぶんFirefox他は大丈夫なんですけどね。

ひとつのサイトのXSSが他のサイトにまで迷惑をかけるかもしれない

ということなんです、はい。めずらしいでしょ？