После некоторого изучения темы... Сделал для себя некоторые выводы и готов поделится с публикой.
Ни JavaScript, ни Flash не в состоянии детектировать виртуальную машину. Скрипты и программы по этим технологиям выполняются в "песочнице" браузера, и не могут выдергивать всю подноготную о системе наподобие аппаратной конфигурации компа с точностью до ID железяк. Максимум что можно вытянуть через JS/Flash на стороне веб-сервера это "слепок" браузера посетителя сайта и общую информацию о его компьютере, куда обычно входит user-agent строка (с минимальной инф-ей о названии и версии браузера, об ОС и о языке браузера, естественно без подробностей типа mac-адреса или модели/ID проца), сведения об экранном разрешении и о соотношении сторон экрана, список установленных плагинов(флэш, pdf и т.п.) и версии этих плагинов. Через флэш также пробивается основной язык системы, наличие и состояние веб-камеры (если она есть и к ней разрешен доступ), список доступных для флэш системных шрифтов, объем системной памяти и ее распределение для браузера/флэшплеера в отдельности, подключен ли пользователь через http-прокси и использует ли туннелирование http (к слову, в отличие от обычного прокси, наличие соксификации определяться этим методом не должно, так как для флэша подключение прозрачно в случае если мы соксифицируем виртуальную машину).
Наглядный пример лишь части того, что можно нарыть о вашей системе через флеш: _http://blog.flexexamples.com/2007/08/08/checking-the-users-flash-player-capabilities-using-the-flashsystemcapabilities-class/
Можете сами по ссылке провериться, в т.ч. на ваших виртуалках, может неумело установленный флэш вас выдает.
Про движок Java от Sun история отдельная. Включенный плагин явы для браузера - это потенциально 100% палево. Через java-аплет удаленный сайт может получить информацию о мак-адресе и о внутреннем (локальном) ip-адресе посетителя, сетевое имя компьютера, общие данные о процессоре и памяти. Вывод из всего этого напрашивается сам собой - Яву лучше отключать (по возможности, если конечно не заставляют делать сам вбив через эти апплеты), став одним из примерно 30% процентов интернет-пользователей у которых этот плагин не установлен/отключен. Либо грамотно подменять все параметры виртуалки, которые аплеты технически могут пропалить.
Ну про куки, солы и кэш браузеров думаю и так все понятно - они лишь дополняют уникальный "слепок" браузера. Про обязательную их чистку все и так знают. Одной лишь чисткой этих данных не обойтись - всем это должно быть очевидно. Как и про банальности типа геолокации сокса и его(сокса) отсутствие в публичных блэк-листах. Общая рекомендация - стараемся по максимуму сливаться с толпой, исключая параметры браузера и системы которые однозначно вас идентифицируют.
Я думаю, что зная все эти тонкости и учитывая их в работе вполне реально обойти любой антифрод при вбивах через веб браузеры с использованием виртуальной машины.