Como se mencionó arriba, para un observador que pueda ver tanto a tí como al sitio web de destino (o tu nodo de salida Tor) es posible correlacionar los tiempos de tu tráfico a medida que entra en la red Tor, como así también cuando sale. Tor no defiende contra tal modelo de amenaza.

En un sentido más limitado, ten en cuenta que si un censor o agencia policíaca tiene la habilidad de obtener observaciones específicas de partes de la red, es posible para ellos verificar una sospecha de que hablas regularmente con tu amigo observando el tráfico en ambos extremos, y correlacionando los tiempos de ese tráfico solamente. De nuevo, esto solamente es útil para verificar que las partes ya sospechadas de comunicarse entre ellas lo están haciendo. En la mayoría de los países, la sospecha requerida para obtener una orden de cateo ya pesa más que lo que la correlación de tiempos pudiera proveer.

Aún más, ya que Tor reusa circuitos para múltiples conexiones TCP, es posible asociar el tráfico anónimo y el que no lo es en un nodo de salida dado, por lo que sé cuidadoso con cuáles aplicaciones ejecutas concurrentemente sobre Tor. Incluso aún, ejecuta clientes Tor separados para estas aplicaciones.