Можно ли взломать куки со всех сайтов?

Невозможно взломать куки со всех сайтов одновременно, так как каждый сайт имеет свою собственную политику безопасности и защиту от взлома данных. Однако, существует вероятность того, что посещение веб-сайта с уязвимостью XSS может привести к компрометации ваших кук на этом конкретном сайте.

Уязвимость XSS позволяет злоумышленнику внедрить вредоносный скрипт на веб-сайт и получить доступ к сведениям, хранимым в куки на этом сайте. Если у злоумышленника получится получить доступ к вашим кукам на одном из сайтов, он сможет использовать их для аутентификации на других сайтах, где вы также авторизованы.

Чтобы уменьшить вероятность компрометации ваших кук через уязвимость XSS, рекомендуется следить за безопасностью своего браузера, использовать надежные пароли и активировать двухфакторную аутентификацию там, где это возможно. Также необходимо быть внимательным при посещении незнакомых сайтов и не открывать подозрительные ссылки или вложения.

Нет, не у него. 
 Во-первых, браузер отображает только те куки, по домену которого открывается страница. 
 И во-вторых, критические куки, отвечающие за сессию всегда имеют свойство httponly и secure, их нельзя вычитать программно со стороны клиента через JS и нельзя получить по незащищенному протоколу http. 
 
 Чтобы похитить куки нужно как минимум согласиться на установку левого расширения браузера - вот там можно делать все с историей просмотра браузера.