En discutir Google per unificar el contingut de la capçalera HTTP User-Agent, desenvolupador del navegador Kiwi a la capçalera HTTP "X-Client-Data" que queda a Chrome, que potencialment Reglament General de Protecció de Dades vigent a la Unió Europea (). Durant També es va criticar la dualitat d'accions de Google, que d'una banda per bloquejar la identificació ocult i les accions de seguiment de l'usuari, però, d'altra banda, no té pressa eliminar el suport per a la capçalera X-Client-Data de Chrome, que es pot utilitzar per identificar instàncies del navegador quan s'accedeix als serveis de Google.
La capçalera X-Client-Data no té una funcionalitat oculta i el seu comportament sí a la documentació. Mitjançant X-Client-Data, Google rep dades sobre l'activitat de determinades funcions experimentals a Chrome en relació amb els seus llocs (per exemple, durant un experiment, Google pot activar determinades funcions de prova a Youtube si són compatibles amb el navegador o intentar correlacionar problemes amb funcions experimentals d'activació).
Títol només per a sol·licituds a llocs de Google que coincideixin amb les màscares “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" i "*.youtube. ", i enviat mitjançant HTTPS. En mode d'incògnit, la capçalera no s'emplena, però si el perfil de Google autenticat de l'usuari canvia a un perfil de convidat o quan es crida a una operació d'esborrament de dades, la capçalera no es restablirà i es continuarà enviant amb el mateix valor.
Es diu que la capçalera no conté informació d'identificació personal i només descriu l'estat d'instal·lació de Chrome i les funcions experimentals actives. Si la telemetria d'ús del navegador i els informes d'error estan desactivats a la configuració, la generació del valor de capçalera X-Client-Data base només utilitza 13 bits d'entropia (8000 combinacions diferents), cosa que no és suficient per a la identificació.
Atès que la capçalera també codifica alguns paràmetres i paràmetres del sistema, en última instància, el contingut de X-Client-Data és bastant adequat com a font addicional de dades per a la identificació indirecta de l'usuari en un curt període de temps (les capacitats experimentals s'activen i es desactiven amb el temps, que condueix a un canvi periòdic de valor a X-Client-Data).
Tanmateix, a més de l'entropia inicial, a l'hora de generar el valor X-Client-Data, també hi ha una seqüència llavor retornada pels servidors de Google i en funció del país, l'adreça IP i altres criteris que Google consideri importants (per exemple, res impedeix). no retorneu una seqüència aleatòria gran, que es convertirà en l'identificador exacte).
A més, comprovar l'ús de màscares de domini de Google quan s'envia dades del client X no exclou les situacions en què un atacant pot registrar un domini com "youtube.xn--55qx5d" i començar a recopilar identificadors.
Font: opennet.ru