Azért annyi kontrollja volt a böngészőnek, hogy elindítja-e vagy nem.
Az persze már más kérdés hogy a user-t mennyire könnyű rávenni arra, hogy itt vagy ott azt kattintsa amit a támadó akar, de ennyi erővel a user-t a gép elől kellene inkább felállítani, ha már "edukálni" nem sikerült.