Pourquoi NoScript n'est-il pas activé par défaut dans le navigateur Tor?

C'est pour empêcher une méthode d'empreinte de l'utilisateur

De: https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Nous configurons NoScript pour autoriser JavaScript par défaut dans le navigateur Tor, car de nombreux sites Web ne fonctionneront pas avec JavaScript désactivé. La plupart des utilisateurs abandonneraient complètement Tor si le site Web qu'ils souhaitent utiliser nécessite JavaScript, car ils ne sauraient pas comment autoriser un site Web à utiliser JavaScript (ou que l'activation de JavaScript pourrait faire fonctionner un site Web).

Il y a un compromis ici. D'une part, nous devons laisser JavaScript activé par défaut pour que les sites Web fonctionnent comme le souhaitent les utilisateurs. D'autre part, nous devrions désactiver JavaScript par défaut pour une meilleure protection contre les vulnérabilités du navigateur (pas simplement une préoccupation théorique!). Mais il y a un troisième problème: les sites Web peuvent facilement déterminer si vous leur avez autorisé JavaScript, et si vous désactivez JavaScript par défaut, puis autorisez quelques sites Web à exécuter des scripts (comme beaucoup de gens utilisent NoScript), votre choix de sites Web figurant sur la liste blanche comme une sorte de cookie qui vous rend reconnaissable (et reconnaissable), nuisant ainsi à votre anonymat.

En fin de compte, nous souhaitons que les ensembles Tor par défaut utilisent une combinaison de pare-feu (comme les règles iptables dans Tails) et de bacs à sable pour rendre JavaScript moins effrayant. À plus court terme, TBB 3.0 permettra aux utilisateurs de choisir leurs paramètres JavaScript plus facilement, mais le problème du partitionnement demeurera.

En attendant, n'hésitez pas à laisser JavaScript activé ou désactivé en fonction de vos priorités en matière de sécurité, d'anonymat et d'utilisation.