Il limite tra il pieno anonimato e lo pseudo-anonimato non è chiaro. Di solito si chiama pseudo-anonimato lo stato in cui è ancora possibile sapere chi era responsabile di cosa.
E lo sviluppatore di un sito non può garantire che il suo sito applichi completamente l'anonimato, a meno che non sia allo stesso tempo amministratore del sito. Perché anche se il database non mantiene gli indirizzi IP e mantiene solo gli hash degli indirizzi e-mail, i sistemi sottostanti come vari proxy o proxy inversi potrebbero generare registri contenenti l'indirizzo IP, l'ora della richiesta e il tipo o la dimensione di la richiesta. In un sito non troppo occupato, è sufficiente trovare l'IP di origine per qualsiasi messaggio. Altri registri potrebbero anche esistere indipendentemente dal database. Ad esempio, alcune librerie di autenticazione potrebbero registrare ogni accesso riuscito con il nome di accesso (normalmente una password non viene mai registrata volontariamente) e abbastanza informazioni (sempre il tempo ...) per collegarlo correttamente all'indirizzo IP di origine della richiesta.
Ciò che intendo è che solo un'ispezione approfondita di tutti i registri esistenti sulla piattaforma che ospita un sito può garantire l'anonimità del sito. E non sarei molto fiducioso qui, perché le best practice sulla sicurezza richiedono che i log siano generati e abbiano abbastanza tempo per essere in grado di scoprire e analizzare un possibile attacco, e quei registri potrebbero essere rubati o dati alle autorità in caso di una richiesta legale .
Quindi, quanto più puoi fare qui è sostenere che fai del tuo meglio per preservare l'anonimato e non memorizzare mai, utilizzare o vendere dati personali e, se possibile, mostrare controlli esterni che lo provino.