Ya existe una gran variedad de "supercookies" y métodos de detección de huellas digitales en el navegador. Me pregunto si HPKP proporciona otro método para rastrear a los usuarios.
Un servidor podría enviar una clave de copia de seguridad adicional que nunca se debe utilizar como una clave pública, sino que es un identificador único para ese visitante. El navegador lo almacenará y lo conservará, incluso si se borran el historial de navegación y las cookies. Si la clave se puede recuperar del cliente (sin tener que probar todas las claves posibles hasta que encuentre una que valide), se podría usar para rastrear a los usuarios.
Así que mis preguntas son:
- ¿Se puede hacer esto?
- ¿Se usa de hecho en la naturaleza?
- ¿Hay alguna otra forma de protegerse que no sea apagar HPKP por completo?