Nota: questa domanda avrebbe potuto essere migliore nella community Tor nonostante fosse in argomento qui.
Thomas Roth ha dimostrato che Protonmail era vulnerabile a un Attacco di cross-site scripting (XSS).
Il video (Vimeo) ha mostrato che almeno il corpo della mail era vulnerabile a Javascript iniezione. Non appena il destinatario legge la posta, il codice viene eseguito. Sfortunatamente, questo codice può essere dannoso e può, tra le altre cose, deanonymizzare l'utente. L'FBI ha dimostrato che era possibile quando hanno sequestrato il Freedom Hosting. (Anche se hanno sfruttato un 0-day in Firefox.)
L'utilizzo del browser Tor con Javascript abilitato è rischioso. Disabilitarlo ridurrà la superficie di attacco. Gli sviluppatori di Tor sono a conoscenza di questo problema e lo affrontano nel loro FAQ:
Why is NoScript configured to allow JavaScript by default in Tor Browser? Isn't that unsafe?
We configure NoScript to allow JavaScript by default in Tor Browser
because many websites will not work with JavaScript disabled. Most
users would give up on Tor entirely if a website they want to use
requires JavaScript, because they would not know how to allow a
website to use JavaScript (or that enabling JavaScript might make a
website work).
Il browser Tor ti offre la possibilità di disabilitare JavaScript (con il plugin NoScript). Tuttavia, come potresti aver notato, Protonmail fa affidamento su JavaScript, e disabilitarlo ti impedirebbe di utilizzare il loro servizio:
Why do you need JavaScript, Session Storage, and Cookies?
ProtonMail does encryption and decryption of messages in your web
browser.
This ensures that we do not have the ability to independently decrypt
your messages and thus ensures the security and privacy of your data.
In order to do encryption and decryption in your web browser, we need
to use JavaScript for the encryption/decryption and SessionStorage for
saving your private key(s) locally. ProtonMail also requires cookies
to be enabled so that we can store your current session information
and log you into your account.
(L'ultima enfasi è mia.)
Quindi devi fare una scelta. O decidi di fidarti di Protonmail per essere sicuro (anche se sono state trovate vulnerabilità); oppure te ne vai e trova un'altra soluzione.