Also nochmal: Trotz frisch gelöschter und deaktivierter Cookies erscheint in der Eingabemaske eines Internetforums der Username. An "autocomplete" ("AutoVervollständigen") kann es auch nicht liegen, da ebenfalls deaktiviert.

Nur, dass der URL nicht beim Klicken des "Absenden"-Buttons eines Formulars generiert wird, sondern die Adresse des Threads bereits die Informationen enthält, die so beim Favorisieren mitgespeichert werden. Diese Technik war mir noch nicht bekannt, gibt es dafür ein Schlagwort?

Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem; einerseits, weil es den Datenbestand von Suchmaschinen unnötig erhöht (jeder Robot-Besuch fördert "neue" Seiten zu Tage, weil sich jedesmal die Kennung in der URL ändert), andererseits, weil es eine Sicherheitslücke darstellt. Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben (für das Erlangen reicht, dass A B die Webseite empfiehlt und "seine" URL gleich mitschickt). Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.