> нет. он написан такими же идиoтами, как те, которые удивляются, зачем приличные
> демоны, если запущены от рута, первым делом скидывают с себя рутовые привилегии,Там чисто технически тырились бы без проблем разве что сильно некоторые данные одного таба. Не больно какая добыча. А разнос контейнеров требует уже ядро системы сломать. Это конечно тоже теоретически возможно, но там все-таки профессиональные ядерщики играют. И обыграть их на их же поле - сложнее чем кучу мягкотелой хипстоты. Да, я качеству кода майнлайна доверяю сильно больше чем файрфоксохипстоте с их "JS нас спасет от всех проблем".
> в голове никакие песочницы не спасут, будь то js-песочницы, или песочницы процессов.
Все так. Но чем больше барьеров на пути взломщика - тем меньше взломщиков доберется до финиша.
> изолировать PDF.js внутри `Cu.Sandbox()` можно и без разнесения по процессам,
Там скорее смысл в изоляции данных. В контейнере с пустой ФС и пустым списком процессов просто нечего грабить, так что даже если все профакапилось, толку с этого вот так с наскока - мало. А данные из основной системы оно получает через пипетку в виде RPC-апи с мастер-процессом, весьма дозированно. Так что процесс-вкладка хрома чисто технически испытывает большие сложности с тем чтобы что-нибудь ценное упереть из системы. Поломать clone()-овские контейнеры наверное можно. Но это целый большой, отдельный и не менее эпичный взлом...
> не сможет, он даже картинку откуда‐то из внешнего источника не получит.
Если честно, сама по себе идея конвертить пдфник в js видится мне достаточно спорной.
> но так бы сделали нормальные инженеры, а не хипстота из тормoзиллы.
Нормальные инженеры не стали бы такии изврaтом как pdf.js заниматься вообще, имхо. И не занимались, что характерно.