Müzakirə edərkən Google, Kiwi brauzerinin inkişaf etdiricisi olan HTTP User-Agent başlığının məzmununu birləşdirəcək potensial olaraq Chrome-da qalan "X-Client-Data" HTTP başlığına Avropa İttifaqında qüvvədə olan Ümumi Məlumatların Qorunması Qaydası (). ərzində Google-un hərəkətlərinin ikililiyi də tənqid olundu, bu da bir tərəfdən gizli identifikasiyanı və istifadəçi hərəkətlərini izləmək üçün bloklamaq, lakin digər tərəfdən, Google xidmətlərinə daxil olan zaman brauzer nümunələrini müəyyən etmək üçün istifadə edilə bilən X-Client-Data başlığına dəstəyi Chrome-dan silməyə tələsmir.
X-Client-Data başlığı gizli funksionallıq deyil və onun davranışı belədir sənədlərdə. X-Client-Data vasitəsilə Google öz saytları ilə əlaqədar Chrome-da müəyyən eksperimental funksiyaların fəaliyyəti haqqında məlumat alır (məsələn, təcrübə zamanı Google Youtube-da bəzi test funksiyalarını brauzer tərəfindən dəstəkləndiyi təqdirdə aktivləşdirə bilər və ya problemləri aktivləşdirmə eksperimental funksiyaları ilə əlaqələndirin).
Başlıq yalnız “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google” maskalarına uyğun gələn Google saytlarına sorğular üçün.>" və "*.youtube. ", və HTTPS vasitəsilə göndərildi. İnkoqnito rejimində başlıq doldurulmur, lakin istifadəçinin təsdiqlənmiş Google profili qonaq profilinə dəyişirsə və ya məlumatların təmizlənməsi əməliyyatı çağırıldıqda, başlıq sıfırlanmır və eyni dəyərlə göndərilməyə davam edir.
Başlıqda şəxsiyyəti müəyyənləşdirən heç bir məlumat olmadığı bildirilir və yalnız Chrome quraşdırma statusunu və aktiv eksperimental xüsusiyyətləri təsvir edir. Brauzerdən istifadə telemetriyası və qəza hesabatı parametrlərdə deaktiv edilibsə, əsas X-Client-Data başlıq dəyərinin yaradılması yalnız 13 bit entropiyadan (8000 müxtəlif kombinasiya) istifadə edir ki, bu da identifikasiya üçün kifayət deyil.
Başlığın bəzi sistem parametrlərini və parametrlərini də kodladığını nəzərə alsaq, nəticədə X-Client-Data məzmunu qısa müddət ərzində dolayı istifadəçi identifikasiyası üçün əlavə məlumat mənbəyi kimi olduqca uyğundur (təcrübə imkanları zamanla aktivləşdirilir və söndürülür, X-Client-Data) dəyərinin dövri dəyişməsinə gətirib çıxarır.
Bununla belə, ilkin entropiyaya əlavə olaraq, X-Client-Data dəyərini yaradan zaman, Google serverləri tərəfindən qaytarılan və Google-un vacib hesab etdiyi ölkədən, IP ünvanından və digər meyarlardan asılı olaraq (məsələn, heç bir şey mane olmur) dəqiq identifikatora çevriləcək böyük təsadüfi ardıcıllığı qaytarmaqdan.
Bundan əlavə, X-Client-Data göndərərkən Google domen maskalarından istifadənin yoxlanılması təcavüzkarın “youtube.xn--55qx5d” kimi domeni qeydiyyatdan keçirə və identifikatorları toplamağa başlaya biləcəyi halları istisna etmir.
Mənbə: opennet.ru