...das zeigt mir mein taeglicher Umgang mit Menschen, die versuchen einen
Computer zu verwenden.
Ich mache seit knapp 10 Jahren Web Application Pentesting und weiß
berufsbedingt was Cross Site Scripting, Cross Site Request Forgery und XML
Entity Injection bedeutet.
Ich frage mich warum NoScript noch immer Menschen empfohlen wird...

Die empirische Beobachtung zeigt, dass NoScript kaum eingesetzt wird. Insofern hast Du recht. Trotzdem ist es empfehlenswert, weil´s sinnvoll ist.

Auf Tagesbasis erlebe ich, dass viele gestandene Web-Entwickler keine
Sicherheitsrelevanten Entscheidungen treffen können oder sollten. Wie kann
man das von normalen Menschen erwarten?

Hier im Gelben gibt es doch gar keine "normalen Menschen" :)

NoScript tötet die Web Experience durch den Verbot von Scripten fast zu
100% und jeder unbedarfte Anwender wird sich immer für eine
funktionierende Webseite entscheiden, auch wenn dafür mal ein Scriptchen
aktiviert werden muss.

Innerhalb von einer bis zwei Wochen hat der Nutzer so ziemlich alle seine Standardseiten im Netz mal besucht. In dieser Zeit ist etwas Mehraufwand zu leisten, aber dann passt das individuelle NoScript-Korsett weitestgehend. Siehe Beispiele... Alles andere ist eh unsicheres Terrain, tief im unerforschten Neuland. Da sollte man eh eine Schutzweste tragen :)

Beispiel 1: Ebay hatte gut ein Jahr lang eine nicht behobene XSS Lücke.
noScript fixt das, dafür funktioniert kein Ebay mehr.

Kenne den konkreten Fall nicht, aber wenn Du als Nutzer bei Cross-Site-Scripting-Risiko schlecht schlafen kannst, hat Dir NoScript dabei geholfen, Ebay in der Zeit zu meiden. Ansonsten ist Ebay mit einem Klick komplett freigegeben (geht auch temporär für eine Sitzung.)

Beispiel 2: Xhamster lieferte 2 Monate Malvertising aus, also
Werbeeinblendungen, die verschiedene Schwachstellen in Webbrowsern
angriffen. NoScript löst das Problem, nur kann man dann nicht mehr die
Palme wedeln.

Hab mir die Seite mal angeschaut. Da geht es ja gar nicht um Keintierdokus. :)

Aus meiner Sicht ist xHamster das beste Pro-Argument für NoScript schlechthin. Beim ersten mal vorbeischauen gibst Du frei, was sein muss (Videostream) und wenn dann mal zwei Monate lang Schadwerbung ausgeliefert wird, ficht Dich das nicht an. Der Stream läuft, aber der Schadcode nicht. Besser kann´s doch gar nicht laufen.

Wie glaubst du haben Sicherheitsentscheidungen von Benutzern in diesen
Fällen ausgesehen? Natürlichen aktivieren die solange alle Scripte, bis
Ebay den neusten Schnapper und Xhamster die neusten Möpse oder Pimmel
anzeigt.

Wer NoScript nutzt, der schaut schon ein wenig drauf, was für Scripte da reinlaufen, sonst wäre das sinnlos. Daher stimme ich Dir in diesem Punkt nicht zu.

Eine Lösung habe ich keine, kann nur sagen, dass wenn NoScript die
Antwort für den normalen PC Benutzer ist, das Problem nicht verstanden
wurde.

Da stimme ich Dir so weit zu, als Dass meines Wissens nach bei Mozilla darüber diskutiert wurde, ob NoScript in den Standardumfang aufgenommen werden soll. Man habe sich aber dagegen entscheiden, weil die Beschäftigung mit Scripten im Hintergrund für Otto-Normal-Nutzer offenbar nicht in Frage kommt.
Aber empfehlenswert ist es trotzdem, das Addon.

LG,
QFT

Gruß, Bernadette