Пры абмеркаванні
Загаловак X-Client-Data не з'яўляецца ўтоенай функцыянальнасцю і яго паводзіны
Загаловак
Заяўлена, што загаловак не ўтрымоўвае персанальна ідэнтыфікаванай інфармацыі, а толькі апісвае стан усталёўкі Chrome і актыўныя эксперыментальныя магчымасці. Калі ў наладах адключаная адпраўка тэлеметрыі аб выкарыстанні браўзэра і генерацыя справаздач аб крахах, пры генерацыі базавага значэння загалоўка X-Client-Data выкарыстоўваецца ўсяго 13 біт энтрапіі (8000 розных камбінацый), што недастаткова для ідэнтыфікацыі.
З улікам таго, што ў загалоўку таксама кадуюцца некаторыя налады і параметры сістэмы, у канчатковым рахунку, змесціва X-Client-Data цалкам падыходзіць як дадатковая крыніца дадзеных для ўскоснай ідэнтыфікацыі карыстальніка ў невялікі перыяд часу (эксперыментальныя магчымасці з часам уключаюцца і адключаюцца, што прыводзіць да перыядычнай змены значэння ў X-Client-Data).
Тым не менш, апроч пачатковай энтрапіі пры фармаванні значэння X-Client-Data таксама выкарыстоўваецца seed-паслядоўнасць, якая вяртаецца серверамі Google і якая залежыць ад краіны, IP-адрасы і іншых крытэраў, якія Google палічыць важнымі (напрыклад, нішто не мяшае вярнуць вялікую выпадковую паслядоўнасць , якая стане дакладным ідэнтыфікатарам).
Акрамя таго, праверка па масках даменаў Google пры адпраўцы X-Client-Data не выключае сітуацый, калі зламыснік можа зарэгістраваць дамен выгляду "youtube.xn--55qx5d" і пачаць збіраць ідэнтыфікатары.
Крыніца: opennet.ru