Odpověď na názor

Co ale je mimo standardy jsou různé komunikace přímo s HW/OS, využívané k fingerptintingu
To prohlížeče neumožňují. Webové prohlížeče poskytují pouze různá webová API (standardizovaná nebo taková, která jsou v experimentální fázi a implementace je součástí standardizace).

předávání dat mezi doménami pomocí cookies, cross-domain-scripting a podobné techniky, které z velké části prostě nejsou v žádném standardu uvedené, protože se s nimi v podstatě nepočítalo
Nikoli, všechny tyhle věci jsou standardizované.

Nastavení úrovně zabezpečení v prohlížeči mění především persistenci dat
Takže to nemá vliv na bezpečnost a nerozbíjí to stránky.

například jako součást přihlašování nebo reklamních systémů
Pro přihlašování není potřeba nic trvale ukládat, stačí uložení v rámci session (než zavřete prohlížeč).

Pokud nemám účet u Google, Facebook, Seznam - není důvod, abych povoloval komunikaci s těmito servery kvůli přihlašování.
Pochybuju, že dokážete při povolování komunikace určit, co se týká přihlašování a co jiných služeb.

Ale netýká se to standardů.
Ano, netýká. Standard jednoduše říká, co má prohlížeč dělat s HTML kódem, který dostane. Když je v něm odkaz na JavaScript, má ho stáhnout a spustit. Když to prohlížeč neudělá (třeba protože mu to uživatel zakáže v nějakém nastavení), nesplňuje standard.

Uváděl jsem ten příklad s tagem ul. Kdyby ho prohlížeč z nějakého důvodu ignoroval, nechová se v souladu se standardem. Se skriptem je to úplně to samé.

Na stránkách, kam člověk musí (DS, FÚ...) by takové věci prostě být neměly - a pokud tam jsou, mělo by být jasně deklarované, co je potřeba povolit.
Není důvod, proč by to tam nebylo. A jasně deklarované, to je – jsou to webové standardy. Není potřeba nic povolovat – stačí použít prohlížeč splňující webové standardy. Pokud si prohlížeč sám rozbijete, že přestane webové standardy splňovat, je to vaše chyba, ne chyba nějakého webu.

Jak byste si takovou deklaraci představoval? Má na tom webu být napsáno: Je potřeba použít prohlížeč, který zpracovává tagy html podle standardu. Je potřeba použít prohlížeč, který zpracovává tagy body podle standardu. Je potřeba použít prohlížeč, který zpracovává tagy div podle standardu. Je potřeba použít prohlížeč, který zpracovává tagy script podle standardu. A tak dále, pro všechny HTML tagy. a pak pro všechny prvky JavaScriptu, pro všechna webová API… K čemu by to bylo? Není jednodušší, když prohlížeč prostě podporuje všechny aktuální webové standardy?

kde je dost potenciálně nebezpečných scriptů na to, aby ji měl člověk zablokovanou.
V čem přesně jsou ty skripty potenciálně nebezpečné?

Při vstupu na takovou stránku by měl být uživatel upozorněn ve stylu: Chybí tu CAPTCHA, povolte domény gstatic a googletagmanager
Nebo „ve vašem prohlížeči chybí podpora <div> ů, povolte je“.

a mohl se rozhodnout, zda to povolí, či nikoliv
To ale není rozhodování, to je náhodná volba. Rozhodování je racionální, na blokování přístupu ke skriptům na náhodných doménách není nic racionálního.

A i tak si myslím, že má-li tam být CAPTCHA, tak vlastní a spolehlivá, nikoliv ta od Google - proč by měl ouřad věřit Google, že pozná člověka?
Ona ta CAPTCHA od Google patří k těm nejspolehlivějším, které existují.