Per quanto mi riguarda, vorrei precisare che ritengo importante parlare delle vulnerabilità, se ci sono, e se @lumassaril le sta segnalando ad h3g tanto di cappello.
Parlando però di sicurezza, mi sono sentito di intervenire perché quella dimostrazione con codice chiuso è un controsenso, anche se potrebbe dimostrare come i siti possono immagazzinare i dati del navigatore sotto rete 3 (non so se è così perché non ho voluto accedere a quei link).
Del resto, l'alternativa è quella di mettere il tutto open-source, ed a mio parere, passando un certo tempo dall'effettiva disclosure, è tutta responsabilità di 3, ma consiglio a @lumassaril di consultare qualche altro forum o qualcuno su twitter che ha avuto a che fare con queste cose e può aiutarlo, non so, mi viene in mente per esempio nel panorama italiano Matteo Flora https://twitter.com/lastknight
EDIT: Anche perché, prendendo tutto per vero, H3G si è dimostrata anche superficiale e poco riconoscente con lussaril, che avrebbe potuto vendere la vulnerabilità. Fare interessare qualcuno riconosciuto, potrebbe creare il giusto echo.