Mi principal recomendación es usar el sentido común. Todos los clientes Bitcoin populares son código abierto y sabemos que han sido probados por muchísima gente. También tenemos servicios basados en la web como blockchain.info, páginas web que muestran cotizaciones en tiempo real como bitcoinity.org y bitcoin.clarkmoody.com. Las páginas web no pueden acceder al disco duro por mucho JavaScript que ejecuten.
Ya, pero mira a este que pinchó en un enlace para entrar en un chat de nosecuántos mientras estaba logeado en mtgox, y cuando se dio cuenta resulta que le habían tangao la pasta.
El problema es que el sentido común de la gente es distinto al tuyo o al mío. La gente tiene el plugin de java instalado y navega allá donde le digan, aunque la dire sea una de estas que están tan de moda últimamente, en plan bit.ly/algo o btc.to/algo, que no te permiten saber adónde vas realmente. Luego claro, te llega el mail de mtgox, porque la gente que tiene el plugin de java tampoco usa 2FA…
Así que sentido común sí, pero también hay que saber un poco cómo funciona esto.