Entiendo que al ser SHA-256 en teoría pueden haber colisiones pero en la práctica lo podemos dar por imposible ¿no? (no se cuántas combinaciones habrán sin googlear)

El ejemplo que dices, valdría modificado o con una excepción porque entiendo que la web tiene el usuario, tiene la contraseña y todos los datos y puede calcular el también el SHA-256 salvo que:
1) La contraseña del usuario que cifre se use en claro para ese SHA-256 pero en la web se guarden las contraseñas cifradas no en claro, con lo cual no puede replicar el proceso.
2) El usuario use un "PIN" o similar que solo sabe el y no está guardado

Bueno son sólo divagaciones e ideas por el momento para aplicar en diferentes cosas, jejeje, un saludo!!!

Claro que hay escenarios en que tiene sentido, pero no hablo de ataques.

Por ejemplo, imagina que en este foro se abre una votación para elegir a los administradores del foro, pero se decide que el voto es secreto.
En una parte de una web se entra para hacer la votación, la web puede saber cuantos votos han habido y cada uno de ellos pero NO que ha votado cada usuario o incluso si ha votado o no, pero un usuario puede cambiar su voto, por lo que se identifica de una forma que la web no puede identificar al usuario, pero este tendrá un id único que saldrá de los datos que tiene registrados en el sistema.
Entrará y elegirá su opción para nuevo administrador o no entrará, lo cambiará luego o no lo cambiará, pero el sistema no podrá identificarle.

Seguro que hay muchas más formas de hacer este escenario, era sólo un ejemplo pero si hay varios donde tiene sentido mi pregunta, que al final se reduce a saber como codificar un string en el navegador en otro (el identificador secreto) de forma que en el servidor no se pueda identificar ese usuario pero sea siempre el mismo si lo vuelve a hacer el cliente y que sea único (aquí es donde se me jode el invento).

La respuesta "fácil" (creo) es haz un hash pero eso no me garantiza que sea único, vale si es un hash muy largo podría "casi" garantizar la unicidad pero no se si se puede hacer otra cosa que efectivamente me garantice la unicidad y además en un proceso que el servidor teniendo ese id codificado no pueda obtener el original.

En primer lugar un saludo he estado leyendo algunos post y es realmente interesante este foro.

Y ahora una duda que me asalta desde mi ignorancia en la criptografía, sólo conozco los típicos AES para cifrar/descifrar y cosas así.

El caso es que estoy dando vueltas a una idea que seguro ya está hecha.
¿Existe alguna forma de que a través de los típicos datos de username etc, se genere un identificador único en el lado del cliente (el navegador) de forma que para cierta parte de una web acceda con ese identificador y no pueda saber la web de quien se trata?
Sólo sabría que ese id ha hecho una operación o la puede cambiar pero no quien es.

Es decir el problema se reduce a que a partir de una cadena relativamente larga y que es única en el sistema (aunque sea concatenando otros datos del usuario) se pueda generar un id (no tiene porque ser un número) en el navegador que sepamos que es único y que el servidor no puede descifrar (no podría saber de que usuario viene ese id pero el mismo usuario si accede tendrá el mismo id claro).

Un saludo a todos.