Esistono numerose vulnerabilità note, che sono state utilizzate, per deanonizzare gli utenti Tor sfruttando JavaScript.
Il primo grande incidente in cui ciò è successo è stato con il sequestro del "Freedom Hosting" dell'FBI. L'FBI ha tenuto i server online, quindi ha installato paylods javascript che hanno sfruttato un exploit zero-day in Firefox. Ciò ha causato il richiamo dei computer a un server FBI dal loro IP reale non anonimo, che ha portato alla decanonimizzazione di vari utenti. Puoi leggere ulteriori informazioni al riguardo in Ars Technica.
In generale, l'abilitazione di JavaScript apre la superficie per molti altri potenziali attacchi contro un browser web. Nel caso di un avversario serio come un'entità sostenuta dallo stato (ad esempio l'FBI), hanno accesso agli exploit zero-day. Se i vettori per questi giorni zero sono disabilitati (ad es. JavaScript), allora potrebbe essere difficile trovare un exploit valido anche se hanno accesso a zero giorni ecc.
L'unica ragione per cui il progetto Tor consente a JavaScript di essere attivo per impostazione predefinita nel browser Tor è l'usabilità. Molti utenti Tor non sono tecnicamente esperti e JavaScript è comunemente usato con HTML5 nei siti Web moderni. La disabilitazione di JavaScript rende molti siti Web inutilizzabili, pertanto è abilitato per impostazione predefinita.
Come best practice, si dovrebbe disabilitare JavaScript nel browser Tor e mantenere NoScript abilitato per tutti i siti, a meno che non si abbia una ragione estremamente convincente per non farlo.