Es tut sich zumindest eine Schnittstelle auf die Sicherheitstechnisch anspruchsvoll ist und für den Benutzer noch mehr intransparente Abläufe mit JS ermöglicht.

Wieso? Für den Benutzer gibt es nur zwei (ihm schon vertraute) Fälle, um einer Website den Zugriff auf eine lokale Datei zu erlauben: Man wählt eine Datei über ein Upload-Feld (<input type=file>) aus oder zieht eine Datei ins Browserfenster (Drag'n'drop). Sicherheitstechnisch ist das eher trivial.
In beiden Fällen hat die Website auf die Datei Zugriff. Früher musste die Datei dann zum Server geschickt werden, jetzt kann JavaScript direkt damit arbeiten. Klar, das ist für den Benutzer nicht transparent, aber ein stinknormales <input type=file> ebenfalls nicht - er weiß ja nicht, wo das Formular hingesendet wird oder überhaupt dass es abgesendet wird (man kann das Formular in ein unsichtbares iframe leiten o.ä.).

Mathias