Joker
На этом можно было бы обсуждение и закончить.
Да, теоретически "JS совершенно безопасен", как написал Stasik. Практически же, всё не так сладко.
Во первых, кто сказал, что понятие "безопасность" ограничивается возможностью-невозможностью обращения к локальным файлам? Во вторых, в последнее время было описано достаточно серьёзных Javascript эксплойтов, для различных броузеров. В том числе, если говорить об Опере, уязвимости позволяли не только читать куки, но и получать полный доступ у локальным файлам.
http://www.bib.com.ua/news/10_2/1.html
Чтение куки "третьей стороны", или содержания HTML форм и т.д., я тоже отношу к вопросам безопасности...
MSIE - это вообще отдельная тема. Вы что, забыли дыру в IE 5 - 6, которая позволяла при помощи <iframe> тэгов исполнять произвольный код в зоне "My Computer" (и читать локальные файлы)?
Вот ещё до кучи:
http://www.iss.net/security_center/static/8844.php