Sa dihang maghisgot Google sa paghiusa sa mga sulod sa HTTP User-Agent header, developer sa Kiwi browser ngadto sa "X-Client-Data" HTTP header nga nahibilin sa Chrome, nga posibleng Kinatibuk-ang Regulasyon sa Pagpanalipod sa Data nga gipatuman sa European Union (). Atol sa Ang duality sa mga aksyon sa Google gisaway usab, nga sa usa ka bahin aron babagan ang tinago nga pag-ila ug pagsubay sa mga aksyon sa tiggamit, apan sa laing bahin, dili magdali nga tangtangon ang suporta alang sa X-Client-Data header gikan sa Chrome, nga magamit aron mahibal-an ang mga higayon sa browser kung mag-access sa mga serbisyo sa Google.
Ang X-Client-Data header dili tinago nga gamit ug ang kinaiya niini sa dokumentasyon. Pinaagi sa X-Client-Data, makadawat ang Google og data sa kalihokan sa pipila ka mga eksperimento nga bahin sa Chrome nga may kalabotan sa mga site niini (pananglitan, sa panahon sa usa ka eksperimento, ang Google mahimong ma-aktibo ang pipila nga mga bahin sa pagsulay sa Youtube kung kini gisuportahan sa browser o pagsulay sa i-correlate ang mga problema sa pagpaaktibo sa eksperimento nga mga gimbuhaton).
Pangulo para lang sa mga hangyo sa mga site sa Google nga motakdo sa mga maskara nga β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.>" ug "*.youtube. ", ug gipadala pinaagi sa HTTPS. Sa mode nga incognito, ang header wala mapuno, apan kung ang gipamatud-an nga profile sa Google sa user mausab sa usa ka profile sa bisita o kung ang usa ka operasyon sa paglimpyo sa datos gitawag, ang header dili i-reset ug padayon nga ipadala nga adunay parehas nga kantidad.
Ang header giingon nga walaβy sulud nga personal nga mailhan nga kasayuran ug naghulagway lamang sa kahimtang sa pag-install sa Chrome ug aktibo nga mga bahin sa eksperimento. Kung ang telemetry sa paggamit sa browser ug ang pagreport sa pag-crash walaβy mahimo sa mga setting, ang paghimo sa base nga X-Client-Data header nga kantidad mogamit lamang sa 13 ka piraso sa entropy (8000 nga lainlaing mga kombinasyon), nga dili igo alang sa pag-ila.
Gihatag nga ang header nag-encode usab sa pipila ka mga setting sa sistema ug mga parameter, sa katapusan ang mga sulud sa X-Client-Data angayan ingon usa ka dugang nga gigikanan sa datos alang sa dili direkta nga pag-ila sa tiggamit sa mubo nga panahon (ang mga kapabilidad sa eksperimento gipagana ug gipugngan sa paglabay sa panahon, nga mosangpot ngadto sa matag-panahon nga pagbag-o sa bili sa X-Client-Data).
Bisan pa, dugang pa sa inisyal nga entropy, kung nagmugna sa X-Client-Data nga kantidad, adunay usab usa ka seed sequence nga gibalik sa mga server sa Google ug depende sa nasud, IP address ug uban pang mga pamatasan nga giisip sa Google nga hinungdanon (pananglitan, walaβy makapugong. gikan sa pagbalik sa usa ka dako nga random sequence , nga mahimong eksaktong identifier).
Dugang pa, ang pagsusi gamit ang Google domain masks sa pagpadala sa X-Client-Data dili iapil ang mga sitwasyon diin ang tig-atake makarehistro og domain sama sa "youtube.xn--55qx5d" ug magsugod sa pagkolekta og mga identifier.
Source: opennet.ru