[…] während AJAXe in den meisten Entwicklertools viel prominenter gelistet werden als Aufrufe von Ressourcen wie Bilddateien...

Das macht keinen Unterschied zu geladenen Grafiken. Im Gegenteil, wen du nicht wirklich eine Grafik auslieferst, wird das ganze noch aufälliger für jemanden der dahinter steigen will.

Und wenn jemand wirklich hinter dein System dahinter steigen will ...  Im Endeffekt läuft ein Script auf Serverseite ab ... ob da num als Antwort ein Bild rauskommt oder nichts oder irgendein Text, das auffälligste wird sein, dass du den Fingerprint generierst. Und was mit dem geschieht ist mit dem guten alten Debugging nicht schwer.

Die eigentliche Frage stellt sich doch, was du mit diesem Fingerprint erreichen willst?

Mit (wahrscheinlich) jedem Browser kann man alle Anfragen/Antworten sehen, also ist dein Fingerprint auch nicht wirklich hilfreich, einmal rausgefunden, dass dieser Fingerprint existiert und er nur anhand der Fähigkeiten des Browsers generiert wird, lässt einen ganz schnell mal nen Bot oder vor was auch immer du den Server damit schützen willst sabotieren.

Clientseitige "Ermittungen" sind genause zu handhaben wie sämtliche Forulardaten, etc. Sie sind böse, bedürfen einer Validierung und einer kontextgerechtem Maskierung im Sinne der Weiterverarbeitung.

MfG
bubble