Si y no, yo tengo entendido que ciertas paginas, como gmail, capturando solo el paquete encriptado de login y usandolo podes logearte despues sin saber el password ni romper la encriptacion. Si bien el ataque man in the middle es lo mas comun, tenes otros riesgos. Tambien si tenes habilitados los plugins te pueden hacer un mitm con las publicidades y tratar de meterte un exploit a traves de ellas sin que te des cuenta, tambien pueden tratar de meterse con un exploit solo por el hecho de que estes conectado. Igual corrijanme si me equivoco, pero el tor es un arma de doble filo. Y si el usuario es poco avanzado, tiene windows y no actualiza, es un riesgo grande...