Hallo,

Ich nutze Noscript, das blockt erst mal schon einiges. Man weiß aber trotzdem noch nicht ob eine vertraute Webseite oder ein bewusst geöffnetes pdf plötzlich befallen ist.

das ist wohl wahr, deswegen sollte Vertrauen auch nicht bedeuten, dass man sämtliche Vorsicht aufgibt.

JavaScript sollte eigentlich doch längst in einer Sandbox laufen die auch wirklich eine ist.

Das tut es AFAIK wohl.

Die ganzen Plugins sowieso, sollte man denken.

Nein, die nun gerade nicht. Browser-Plugins bestehen aus Code, der mit dem Seiteninhalt interagieren kann, und auf der anderen Seite mit denselben Rechten und Privilegien läuft wie der Browser selbst. Alles, was dem Programm "Browser" gestattet ist, ist dem Plugin damit automatisch auch gestattet. Mit anderen Worten: Ein Plugin hat alle Möglichkeiten, die auch dem Benutzer offenstehen, der den Browser aufgerufen hat. Weitere Netzwerkzugriffe mit beliebigen Protokollen, Zugriffe auf das Filesystem, Mails versenden, Verändern von Einstellungen ...
Und wenn das Plugin dann noch eine Schnittstelle zu Javascript hat, ist plötzlich auch Javascript nicht mehr ganz so harmlos, wie es eigentlich sein sollte.

Ciao,
 Martin