Пры абмеркаванні Google па ўніфікацыі змесціва HTTP-загалоўка User-Agent, распрацоўнік браўзэра Kiwi на які застаецца ў Chrome HTTP-загаловак «X-Client-Data», які патэнцыйна дзеючы ў Еўрасаюзе агульны рэгламент па абароне даных (). У ходзе таксама падвергнулася крытыцы дваістасць дзеянняў кампаніі Google, якая з аднаго боку для блакавання ўтоенай ідэнтыфікацыі і адсочванні дзеянняў карыстачоў, але з іншага боку не спяшаецца выдаляць з Chrome падтрымку загалоўка X-Client-Data, які можа ўжывацца для ідэнтыфікацыі асобнікаў браўзэра пры звароце да сэрвісаў Google.
Загаловак X-Client-Data не з'яўляецца ўтоенай функцыянальнасцю і яго паводзіны у дакументацыі. Праз X-Client-Data кампанія Google атрымлівае дадзеныя аб актыўнасці тых ці іншых эксперыментальных магчымасцяў у Chrome у прывязцы да сваіх сайтаў (напрыклад, падчас эксперыменту Google можа актываваць у Youtube пэўныя тэставыя магчымасці, калі яны падтрымліваюцца браўзэрам ці паспрабаваць супаставіць узнікаючыя праблемы з актывацыяй. эксперыментальных функцый).
Загаловак толькі для запытаў да сайтаў Google, якія адпавядаюць маскам "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>» і «*.youtube. », і якія адпраўляюцца праз HTTPS. У рэжыме інкогніта загаловак не запаўняецца, але ў выпадку змены аўтэнтыфікаванага профіля карыстача ў Google на гасцявы профіль або пры выкліку аперацыі ачысткі дадзеных загаловак не скідаецца і працягвае адпраўляцца з ранейшым значэннем.
Заяўлена, што загаловак не ўтрымоўвае персанальна ідэнтыфікаванай інфармацыі, а толькі апісвае стан усталёўкі Chrome і актыўныя эксперыментальныя магчымасці. Калі ў наладах адключаная адпраўка тэлеметрыі аб выкарыстанні браўзэра і генерацыя справаздач аб крахах, пры генерацыі базавага значэння загалоўка X-Client-Data выкарыстоўваецца ўсяго 13 біт энтрапіі (8000 розных камбінацый), што недастаткова для ідэнтыфікацыі.
З улікам таго, што ў загалоўку таксама кадуюцца некаторыя налады і параметры сістэмы, у канчатковым рахунку, змесціва X-Client-Data цалкам падыходзіць як дадатковая крыніца дадзеных для ўскоснай ідэнтыфікацыі карыстальніка ў невялікі перыяд часу (эксперыментальныя магчымасці з часам уключаюцца і адключаюцца, што прыводзіць да перыядычнай змены значэння ў X-Client-Data).
Тым не менш, апроч пачатковай энтрапіі пры фармаванні значэння X-Client-Data таксама выкарыстоўваецца seed-паслядоўнасць, якая вяртаецца серверамі Google і якая залежыць ад краіны, IP-адрасы і іншых крытэраў, якія Google палічыць важнымі (напрыклад, нішто не мяшае вярнуць вялікую выпадковую паслядоўнасць , якая стане дакладным ідэнтыфікатарам).
Акрамя таго, праверка па масках даменаў Google пры адпраўцы X-Client-Data не выключае сітуацый, калі зламыснік можа зарэгістраваць дамен выгляду "youtube.xn--55qx5d" і пачаць збіраць ідэнтыфікатары.
Крыніца: opennet.ru