По поводу чтения файлов с винта юзера обнаружил одну фичу в MSDN.
При должном уровне безопасности и зная точный путь до файла можно залить его на сервак. Сам такое делал.
Если допустить, что юзер понизил по каким-либо причином уровень безопасности, и имеется возможность запускать компонетны ActiveX, можно прочитать history, залить ее на сервак, разобрать скриптом. Далее шлем запросы ко всем сайтам (через socketы) и разгребаем их куки, если таковые устанавливаются.
Кстати, там же видел, что есть какая-то возможность влиять на настройки уровня безопасности в ИЕ. %))))))
Вобщем, если покапаться, можно что-нить придумать ...