Kada raspravljate Google objedinjuje sadržaj HTTP zaglavlja User-Agent, programera Kiwi pretraživača na HTTP zaglavlje "X-Client-Data" koje ostaje u Chromeu, što je potencijalno Opća uredba o zaštiti podataka na snazi u Evropskoj uniji (). Tokom Kritikovana je i dualnost Googleovih postupaka, što s jedne strane blokira skrivenu identifikaciju i praćenje radnji korisnika, ali s druge strane, ne žuri se ukloniti podršku za zaglavlje X-Client-Data iz Chromea, koje se može koristiti za identifikaciju instanci pretraživača prilikom pristupa Google uslugama.
Zaglavlje X-Client-Data nije skrivena funkcionalnost i njegovo ponašanje jeste u dokumentaciji. Putem X-Client-Data, Google prima podatke o aktivnosti određenih eksperimentalnih funkcija u Chromeu u vezi sa svojim web lokacijama (na primjer, tokom eksperimenta, Google može aktivirati određene testne funkcije na Youtubeu ako ih podržava preglednik ili pokuša koreliraju probleme s aktivacijskim eksperimentalnim funkcijama).
Header samo za zahtjeve prema Google stranicama koji odgovaraju maskama “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" i "*.youtube. ", i poslano putem HTTPS-a. U anonimnom načinu rada, zaglavlje se ne popunjava, ali ako se korisnikov autentificirani Google profil promijeni u profil gosta ili kada se pozove operacija brisanja podataka, zaglavlje se ne resetuje i nastavlja se slati s istom vrijednošću.
Navedeno je da zaglavlje ne sadrži lične podatke i samo opisuje status instalacije Chromea i aktivne eksperimentalne funkcije. Ako su telemetrija korišćenja pretraživača i izveštavanje o padu onemogućeni u podešavanjima, generisanje osnovne vrednosti zaglavlja X-Client-Data koristi samo 13 bita entropije (8000 različitih kombinacija), što nije dovoljno za identifikaciju.
S obzirom na to da zaglavlje kodira i neke sistemske postavke i parametre, u konačnici sadržaj X-Client-Data je sasvim prikladan kao dodatni izvor podataka za indirektnu identifikaciju korisnika u kratkom vremenskom periodu (eksperimentalne mogućnosti se vremenom omogućavaju i onemogućuju, što dovodi do periodične promjene vrijednosti u X-Client-Data).
Međutim, pored početne entropije, prilikom generiranja vrijednosti X-Client-Data, postoji i početni niz koji vraćaju Google serveri i ovisno o zemlji, IP adresi i drugim kriterijima koje Google smatra važnim (npr. ništa ne sprječava od vraćanja velikog slučajnog niza, koji će postati tačan identifikator).
Osim toga, provjera korištenja Google maski domene prilikom slanja X-Client-Data ne isključuje situacije u kojima napadač može registrirati domenu poput “youtube.xn--55qx5d” i početi prikupljati identifikatore.
izvor: opennet.ru