"Keinen vertrauensunwürdigen Code am eigenen Rechner ausführen!"
Da man mit Spectre & Co auch aus Sandboxen heraus Schaden anrichten kann.
Doch was ist dem entgegen die traurige Realität: Sandboxen everywhere, insbesondere bei der JavaScript-Ausführung im Webbrowser.
Script-Blocker im Browser sind dieser Tage essenzieller als jeder Virenschutz.
Weil JavaScript dürfte das Haupteinfalltor für Malware sein (abgesehen von Social Engineering das von der Blödheit/Naivität unzähliger Benutzer lebt und daher nie auszurotten sein wird).
JavaScript im Webbrowser gehört eigentlich aus Sicherheitsgründen verboten, bzw. alle Webseiten geächtet die es erzwingen (für optionale nicht-essenzielle Funktionen ist es OK).
Aber das Gegenteil ist der Fall. Immer mehr Webseiten lassen sich überhaupt nicht mehr ohne JS benutzen, selbst wenn es keinen ersichtlichen Grund (abgesehen von Werbung und User Tracking) dafür gibt.