Hacker Samy Kamkar zegt een methode te hebben ontwikkeld om cookies te plaatsen die niet of vrijwel niet zijn te verwijderen. Met de methode worden onder meer cookies geplaatst in de rgb-waarden van png-bestanden en in Flash-objecten.
Normaliter worden cookies verwijderd wanneer een gebruiker daartoe opdracht geeft, maar de Evercookie van ontwikkelaar Samy Kamkar zou in dat geval blijven bestaan. Zijn tool, in feite een javascript-api, plaatst een waarde niet alleen in een http-cookie, maar gebruikt ook zeven andere locaties om deze op te slaan. Het verwijderen van standaard-http-cookies heeft hierdoor geen zin; deze worden gewoon teruggezet als de Evercookie ziet dat een cookie is verwijderd.
Een van de methoden die Kamkar gebruikt om cookies te plaatsen is via zogeheten local shared objects in Flash, een methode die al langer bekend is en ook wel wordt aangeduid met Flash-cookie. Deze cookies zijn lastig te verwijderen. Kamkar ging echter verder; hij zet de inhoud van een cookie bijvoorbeeld om naar rgb-waarden, die door de browser als png-bestand worden gecached. Met behulp van een '304 Not Modified'-header en slim gebruik van de html 5-canvas-tag kan de waarde van het png-bestand weer worden uitgelezen.
Ook slaat de Evercookie de waarde van een cookie als internetadressen op in de browsergeschiedenis, die met behulp van een css-hack kan worden uitgelezen. Verder worden enkele aanvullende html5-methodes gebruikt om de cookie op te slaan. Zo lang de waarde van een cookie op een van de acht locaties aanwezig is, kan die op alle andere worden teruggezet. Kamkar wil in een volgende versie van zijn api ook ondersteuning voor Silverlight-opslag, http-etags en window.name-caching opnemen.
Kamkar zegt tegenover Threatpost zijn tool, die opensource is en door iedereen mag worden gebruikt, te hebben ontwikkeld om 'bewustzijn te kweken'. Hij zou de Evercookie in één dag hebben ontwikkeld.