Per utilizzare la memorizzazione persistente, l'applicazione deve richiedere la quota, che produce una richiesta all'utente . Potrebbe ovviamente essere usato come supercookie a quel punto, ma dato che l'utente è stato richiesto, sembra essere una strada meno preoccupante rispetto ad altre aree. (Inoltre, essendo specifici di Chrome probabilmente lo renderebbe meno mirato rispetto ad altre tecniche di supercookie.)
La memoria temporanea non viene richiesta, ma il browser può cancellarla in qualsiasi momento. Non sono sicuro quando ciò si verifica, ma credo che dovrebbe verificarsi se si cancellano tutti i dati locali.
Non sono a conoscenza di problemi di sicurezza specifici relativi a questa API, poiché fornisce un file system in modalità sandbox a ciascuna origine. (Non può leggere / scrivere dati arbitrari da altre applicazioni o posizioni sul computer dell'utente.)
Considero questo un problema di privacy più che un problema di sicurezza - nella mia mente, se l'API funziona come previsto e non perde / rivela dati che non erano nel progetto originale, allora è una decisione sulla privacy che è stata presa fatto dai progettisti di specifiche. (Ovviamente, molti utenti non sono contenti di molte decisioni sulla privacy che sono state prese - non sto dicendo che sia auspicabile.) Diventa un problema di sicurezza quando si attraversa un confine di privilegi o si può usare per rivelare informazioni che i progettisti non hanno avere intenzione. (Come le implicazioni delle impronte digitali su tela).