Non riesco a riprodurre alcuno dei comportamenti che descrivi, quindi questo post sarà di natura un po 'più teorica.
L'abilità perplessa sembra essere la capacità di riconoscere l'origine di una richiesta HTTP anche quando viene utilizzata una VPN e viene utilizzato un agente utente privo di funzioni come CURL. Sarebbe davvero fonte di perplessità.
I super cookie o i metodi di rilevamento delle impronte digitali di tutti sappiamo fare affidamento su qualche tipo di funzionalità (come HSTS, Flash o JavaScript per segnalare le dimensioni dello schermo o i font installati). CURL non supporta nessuno di quei fighter, non analizza nemmeno la risposta per te. Quindi, essere ancora in grado di identificare l'utente sarebbe davvero magico, o per lo meno un segno di una VPN difettosa.
Tuttavia, il test che descrivi nella tua domanda non dimostra l'abilità proposta. Ci sono un gran numero di spiegazioni alternative che non hai ancora escluso. Solo per citarne alcuni:
- L'IP delle VPN conosciute: s sono elencate e bloccate.
- L'IP della VPN è in una geolocalizzazione bloccata.
- Il pulsante è attivato da JavaScript, che CURL non verrà eseguito.
- Il comportamento è casuale.
Il test che vorrei fare sarebbe usare CURL (con la stessa identica richiesta) e una VPN sia per il primo che per il secondo tentativo, ma con diversi nodi di uscita, cioè diversi IP. Se ripetuti test di questo tipo hanno fatto scattare una sorta di super cookie, sarei davvero perplesso, ma non fino ad allora.