Esiste già una vasta gamma di "supercookies" e metodi di fingerprinting del browser. Mi chiedo se HPKP offra ancora un altro metodo per tracciare gli utenti?
Un server potrebbe inviare una chiave di backup extra che non è destinata a essere utilizzata come chiave pubblica, ma invece è un identificatore univoco per quel visitatore. Il browser lo memorizzerà felicemente e lo manterrà anche se la cronologia di navigazione e i cookie vengono scaricati. Se la chiave potrebbe essere in qualche modo recuperata dal client (senza dover provare tutte le chiavi possibili finché non ne trovi una che lo convalida) potrebbe essere utilizzata per il tracciamento degli utenti.
Quindi le mie domande sono:
- Questo può essere fatto?
- Viene infatti utilizzato in natura?
- C'è un modo per proteggersi se non spegnere completamente HPKP?