O dilema de não forçar novas proteções por padrão ecoa o drama do suporte a legados de 2010. Na época, a solução para o ataque via :visited foi limitar o CSS, corrigindo a falha de segurança sem remover a funcionalidade visual de links visitados.

A chegada do Spectre (uma vulnerabilidade de CPU que permitia a um site malicioso ler a memória de outros processos, possibilitando o roubo de dados entre abas e quebrando a barreira de segurança mais fundamental do sistema) mudou tudo. A severidade da ameaça fez a indústria aceitar o enorme custo de performance do Site Isolation, uma proteção imposta na arquitetura do próprio navegador.

Então, por que o mesmo não ocorre com headers como COOP/COEP? A diferença é a responsabilidade: Site Isolation é uma mudança do navegador; headers são uma implementação do desenvolvedor do site.

Forçá-los por padrão quebraria funcionalidades essenciais, como logins OAuth e integrações de pagamento, que dependem da comunicação entre janelas. O navegador não pode adivinhar se essa interação é legítima. Por isso, a proteção total hoje é opt-in: a decisão de isolar uma página é do desenvolvedor, pois o risco de paralisar a web funcional ainda impede que a segurança máxima seja o padrão.