Здравствуйте, vsb, Вы писали:

vsb>>>Вряд ли все. Банально — в гугль хроме есть extensions, которые могут запускать произвольные файлы,

F>>Пруф?

vsb>https://developer.chrome.com/docs/apps/nativeMessaging/


Да, почти правда. Не расширения запускают произвольные файлы, а браузер стартует зарегистрированные в хроме программы, когда расширение попросит, чтобы общаться с ними по stdin/stdout. По сути, СОМ как он есть.

А так как у расширений нет доступа к файловой системе вне песочницы, то пока это безопасно. С другой стороны, хватит одной дырявой программы или скрипта, чтобы скрафтить регистрацию произвольного файла.