C'è sicuramente un rischio: lo scripting consente essenzialmente l'esecuzione di codice sul browser. Le vulnerabilità vanno dalla lettura della cronologia del browser all'installazione del malware al phishing delle credenziali bancarie, ognuna delle quali può potenzialmente causare "danni" in qualche modo.
Tuttavia, dato che la maggior parte dei siti Web di oggi si basano sullo scripting, c'è un'enorme perdita nella disattivazione degli script, fino al sito che non viene più visualizzato nel browser. Disattivare lo scripting inoltre non protegge da altri modi in cui possono accadere cose brutte sul tuo computer, quindi il ritorno per l'inconveniente non è incredibilmente alto.
Probabilmente l'uso più comune degli script è l'analisi, che consente al webmaster di quel sito di ottenere informazioni su chi sta accedendo a quali pagine, migliorando potenzialmente il flusso del sito e le informazioni presentate. Tuttavia, il rovescio della medaglia è la pubblicità mirata, che consente agli inserzionisti di seguire gli utenti su più siti.
La maggior parte degli script sui siti Web sono "per lo più" innocui, proprio come la maggior parte del software disponibile è "per lo più" innocuo. I responsabili della sicurezza si concentrano sul lato dannoso delle cose e imparano continuamente che esiste un compromesso tra usabilità e sicurezza.
Quello che faccio personalmente è usare Firefox con i componenti aggiuntivi NoScript e Ghostery. Tra questi due - NoScript in particolare - la possibilità di avere degli script iniettati nella pagina che sto visualizzando è notevolmente ridotta. Mi aspetto ancora di diventare pwned ad un certo punto, ma gli strumenti che ho svolgeranno un lavoro ragionevole per tenermi a conoscenza di ciò che sta accadendo finché continuerò a prestare attenzione.