Come menzionato da @schroeder, si tratta puramente di Javascript, non di qualsiasi app specifica che coinvolge Javascript.
Un esempio pratico di come Javascript può essere usato per de-cloak di un utente tor è usando WebRTC (vedi link ). Javascript è in discussione perché è usato per costruire la connessione WebRTC (vedi link per una grande panoramica di WebRTC).
Un altro è l'uso delle API di geo-localizzazione incorporate nei browser, che, di nuovo, sono destinate ad essere interrogate tramite Javascript (si veda ad esempio link ). Tale API tipicamente fallisce nell'utilizzare la posizione basata su IP come ultima risorsa, ma spesso preferisce altre fonti (come punti di accesso visibili, GPS, ecc.).
Ci sono altri esempi che riguardano Flash, forse Java, e senza dubbio un'intera lista di altre cose.
È possibile (in genere) il profilo javascript (tramite la modalità di sviluppo / debug del browser, che in genere è possibile accedere premendo F12), e la maggior parte dei browser fornirà anche un modo per verificare quali connessioni vengono effettuate dal browser durante l'elaborazione di un pagina.
Generalmente, la prevenzione è di gran lunga preferibile al rilevamento, quindi fare cose come disabilitare / limitare Javascript, disabilitare WebRTC a livello globale, non, mai, in nessun caso consentire flash o java nel tuo browser , probabilmente sei il tuo migliore scommessa.