عند المناقشة جوجل لتوحيد محتويات رأس HTTP User-Agent، مطور متصفح Kiwi إلى رأس HTTP "X-Client-Data" المتبقي في Chrome، والذي من المحتمل أن يكون اللائحة العامة لحماية البيانات المعمول بها في الاتحاد الأوروبي (). خلال كما تم انتقاد ازدواجية تصرفات جوجل، من ناحية لحظر التعريف المخفي وتتبع إجراءات المستخدم، ولكن ليس في عجلة من أمره لإزالة دعم رأس X-Client-Data من Chrome، والذي يمكن استخدامه لتحديد مثيلات المتصفح عند الوصول إلى خدمات Google.
رأس X-Client-Data ليس وظيفة مخفية وسلوكه كذلك في الوثائق. من خلال X-Client-Data، تتلقى Google بيانات حول نشاط ميزات تجريبية معينة في Chrome فيما يتعلق بمواقعها (على سبيل المثال، أثناء التجربة، يمكن لـ Google تنشيط ميزات اختبارية معينة في Youtube إذا كانت مدعومة من المتصفح أو تحاول ذلك). ربط المشاكل مع وظائف التنشيط التجريبية).
لقب فقط للطلبات المقدمة إلى مواقع Google التي تتطابق مع الأقنعة "*.doubleclick.net"، و"*.googlesyndication.com"، و"www.googleadservices.com"، و"*.google".>" و"*.youtube. "، ويتم إرساله عبر HTTPS. في وضع التصفح المتخفي، لا تتم تعبئة الرأس، ولكن إذا تغير ملف تعريف Google المعتمد للمستخدم إلى ملف تعريف ضيف أو عند استدعاء عملية مسح البيانات، فلن تتم إعادة تعيين الرأس وسيستمر إرساله بنفس القيمة.
يُذكر أن الرأس لا يحتوي على معلومات تعريف شخصية ويصف فقط حالة تثبيت Chrome والميزات التجريبية النشطة. إذا تم تعطيل قياس استخدام المتصفح والإبلاغ عن الأعطال في الإعدادات، فإن إنشاء قيمة رأس X-Client-Data الأساسية يستخدم 13 بت فقط من الإنتروبيا (8000 مجموعة مختلفة)، وهو ما لا يكفي لتحديد الهوية.
نظرًا لأن الرأس يشفر أيضًا بعض إعدادات النظام ومعلماته، فإن محتويات X-Client-Data في النهاية مناسبة تمامًا كمصدر إضافي للبيانات لتحديد هوية المستخدم غير المباشرة في فترة زمنية قصيرة (يتم تمكين القدرات التجريبية وتعطيلها بمرور الوقت، مما يؤدي إلى تغيير دوري للقيمة في X-Client-Data).
ومع ذلك، بالإضافة إلى الإنتروبيا الأولية، عند إنشاء قيمة X-Client-Data، هناك أيضًا تسلسل أولي يتم إرجاعه بواسطة خوادم Google اعتمادًا على البلد وعنوان IP والمعايير الأخرى التي تعتبرها Google مهمة (على سبيل المثال، لا شيء يمنع من إرجاع تسلسل عشوائي كبير، والذي سيصبح المعرف الدقيق).
بالإضافة إلى ذلك، فإن التحقق من استخدام أقنعة نطاق Google عند إرسال X-Client-Data لا يستبعد المواقف التي يمكن فيها للمهاجم تسجيل نطاق مثل "youtube.xn--55qx5d" والبدء في جمع المعرفات.
المصدر: opennet.ru