Configuramos NoScript para permitir JavaScript de forma predeterminada en el navegador Tor porque muchos sitios web no funcionarán con JavaScript deshabilitado. La mayoría de los usuarios se darían por vencidos con Tor por completo si un sitio web que desean usar requiere JavaScript, porque no sabrían cómo permitir que un sitio web use JavaScript (o que habilitar JavaScript podría hacer que un sitio web funcione).
Hay una compensación aquí. Por un lado, debemos dejar JavaScript habilitado de manera predeterminada para que los sitios web funcionen de la manera que los usuarios esperan. Por otro lado, debemos deshabilitar JavaScript de forma predeterminada para protegernos mejor contra las vulnerabilidades del navegador (¡no solo una preocupación teórica!). Pero hay un tercer problema: los sitios web pueden determinar fácilmente si ha permitido JavaScript para ellos, y si deshabilita JavaScript de forma predeterminada pero luego permite que algunos sitios web ejecuten scripts (la forma en que la mayoría de la gente usa NoScript), entonces su elección de sitios web incluidos en la lista blanca actúa como una especie de cookie que te hace reconocible (y distinguible), perjudicando así tu anonimato.
En última instancia, queremos que los paquetes Tor predeterminados usen una combinación de firewalls (como las reglas de iptables en Tails) y sandboxes para que JavaScript no sea tan aterrador. A corto plazo, es de esperar que TBB 3.0 permita a los usuarios elegir su configuración de JavaScript más fácilmente, pero la preocupación por la partición continuará.
Hasta que lleguemos allí, no dude en dejar JavaScript activado o desactivado dependiendo de sus prioridades de seguridad, anonimato y usabilidad.