Chris Dixon

Защита кук = защита локальной машины от злоумышленника

Лучшее решение из доступных практически каждому - отделить физически критические задачи и остальные, по разным машинам, подключив их к рабочему месту по KMS (клавиатура + мышка + монтор переключатель между двумя компьютерами), на одной используешь только критичную к взлому информацию - банковские сервисы, криптовалюты, парольный менеджер... а на другой все остальное. И никакой общей папки. В идеале разделить машины еще и по разным сетям, благо роутеры такое умеющие уже вполне себе доступные (например кинетик умеет).

Если на критичной машине ничего не запускать кроме браузера, то куки будут вполне надежно защищены. Само собой своевременные обновления. Эту машину вполне можно доверить linux, все равно разницы никто не заметит.

Как развитие способа - использование виртуальных машин, при условии что гипервизор не будет никак больше использоваться, кроме как для запуска виртуалок. Но в этом случае с компьютерными играми могут быть проблемы.

скорее всего фильтр по доменам, поискать менее популярные