Mettons que je sois une régie publicitaire voulant traquer un utilisateur à travers plusieurs sites, un réseau social voulant faire un shadow profile d’utilisateurs, via des boutons mis sur tous les sites, ouun gestionnaire de site voulant identifier de manière unique un utilisateur derrière du NAT. Scénario Sci-Fi, donc.
Je génère un nom de domaine unique par utilisateur qui vient voir l’URI principale et je mets l’attribut « persist » ou un âge très important.
Par exemple, mettons que tu retournes ${RANDOM}.www.bortzmeyer.org pour la page d’accueil de ton blog. Mon navigateur mémorise que a874HgkIh.www.bortzmeyer.org est l’URL à interroger pour accéder à la homepage de ton blog.
Dorénavant, à chaque fois que tu auras un visiteur de ton blog accédant à a874HgkIh.www.bortzmeyer.org, tu sauras que c’est « moi », identifié par l’URL qui m’est unique. « Moi » et non moi, car tu sauras que c’est le même utilisateur (ou plus précisément le même profil navigateur), mais tu ne sauras pas mon nom.
Edit : je précise que cela m’a sauté aux yeux, mais après vérification, c’est bien un élément qui est évoqué dans les « security considerations » de la RFC.