Нашёлся интересный способ идентифицировать пользователя без использования cookie, какого-либо браузерного Storage, flash или Java и работающий при отключенном JavaScript за VPN.
Идея очень проста. Браузер может довольно длительное время хранить кеш. При использовании ETag клиент получает от сервера хеш, который кешируется вместе с данными и далее посылается обратно при каждом запросе этих данных. Пока данные не меняются, хеш посылается одинаковый, что позволяет идентифицировать пользователя.