Wanneer bespreek word Google om die inhoud van die HTTP User-Agent-kopskrif, ontwikkelaar van die Kiwi-blaaier, te verenig na die "X-Client-Data" HTTP-kopskrif wat in Chrome oorbly, wat moontlik Algemene databeskermingsregulasie van krag in die Europese Unie (). Tydens Die dualiteit van Google se optrede is ook gekritiseer, wat aan die een kant om verborge identifikasie te blokkeer en gebruikersaksies op te spoor, maar aan die ander kant is dit nie haastig om ondersteuning vir die X-Client-Data-kopskrif van Chrome te verwyder nie, wat gebruik kan word om blaaiergevalle te identifiseer wanneer toegang tot Google-dienste verkry word.
Die X-Client-Data-kopskrif is nie verborge funksionaliteit nie en die gedrag daarvan is in die dokumentasie. Deur X-Client-Data ontvang Google data oor die aktiwiteit van sekere eksperimentele kenmerke in Chrome in verband met sy werwe (byvoorbeeld, tydens 'n eksperiment kan Google sekere toetskenmerke in Youtube aktiveer as dit deur die blaaier ondersteun word of probeer om probleme met aktivering eksperimentele funksies korreleer).
Titel slegs vir versoeke aan Google-werwe wat ooreenstem met die maskers β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.>" en "*.youtube. ", en gestuur via HTTPS. In incognitomodus word die kopskrif nie gevul nie, maar as die gebruiker se geverifieerde Google-profiel na 'n gasprofiel verander of wanneer 'n data-uitveebewerking geroep word, word die kopskrif nie teruggestel nie en word dit steeds met dieselfde waarde gestuur.
Die opskrif bevat geen persoonlik identifiseerbare inligting nie en beskryf slegs die Chrome-installasiestatus en aktiewe eksperimentele kenmerke. As blaaiergebruiktelemetrie en omvalverslaggewing in instellings gedeaktiveer is, gebruik die generering van die basis X-Client-Data-kopwaarde slegs 13 bisse entropie (8000 verskillende kombinasies), wat nie genoeg is vir identifikasie nie.
Aangesien die kopskrif ook sommige stelselinstellings en -parameters kodeer, is die inhoud van X-Client-Data uiteindelik baie geskik as 'n bykomende bron van data vir indirekte gebruikeridentifikasie in 'n kort tydperk (eksperimentele vermoΓ«ns word mettertyd geaktiveer en gedeaktiveer, wat lei tot periodieke verandering van waarde in X-Client-Data).
Benewens die aanvanklike entropie, wanneer die X-Client-Data-waarde gegenereer word, is daar egter ook 'n saadvolgorde wat deur Google-bedieners teruggestuur word en afhangende van die land, IP-adres en ander kriteria wat Google belangrik ag (byvoorbeeld, niks verhoed jy nie 'n groot ewekansige volgorde terugstuur , wat die presiese identifiseerder sal word).
Daarbenewens sluit die gebruik van Google-domeinmaskers na wanneer X-Client-Data gestuur word, nie situasies uit waar 'n aanvaller 'n domein soos "youtube.xn--55qx5d" kan registreer en identifiseerders kan begin versamel nie.
Bron: opennet.ru