Es wird schon sehr sehr lange reagiert: Das NoScript-Plugin beendet solche Sachen bereits in der jetzigen und auch schon lange in früheren Versionen.
Es gibt *keinen Grund*, eine neue unbekannte Seite mit JavaScript (oder erlaubten Cookies) anzusurfen. Wenn man meint, der Content ist interessant genug, kann man so einen Krempel noch immer bei Bedarf temporär und nur für bestimmte Sites erlauben.
Das ist zwar völlig richtig, aber die falsche baustelle.
technisch versierte oder interessierte personen sind sowieso nicht angriffsziel nr.1 - und der klassische "enduser" hat von gut gemeinten plugins nicht viel, er wird sie nicht installieren.
wenn ein browser die lücke gleich ganz schließt, sehe ich das schon als sinnvoll an.
btw: history stealing funktioniert auch ohne javascript 