Quandu si discute Google per unificà u cuntenutu di l'intestazione HTTP User-Agent, sviluppatore di u navigatore Kiwi à l'intestazione HTTP "X-Client-Data" chì resta in Chrome, chì potenzialmente Regolamentu Generale di Prutezzione di Dati in vigore in l'Unione Europea (). Duranti A dualità di l'azzioni di Google hè statu ancu criticatu, chì da una banda per bluccà l'identificazione oculata è u seguimentu di l'azzioni di l'utilizatori, ma d'altra parte, ùn hè micca pressa per sguassà u supportu per l'intestazione X-Client-Data da Chrome, chì pò esse usatu per identificà i casi di u navigatore quandu accede à i servizii di Google.
L'intestazione X-Client-Data ùn hè micca una funziunalità oculta è u so cumpurtamentu hè in a documentazione. Per mezu di X-Client-Data, Google riceve dati nantu à l'attività di certe funzioni sperimentali in Chrome in cunnessione cù i so siti (per esempiu, durante un esperimentu, Google pò attivà certe funzioni di teste in Youtube se sò supportati da u navigatore o pruvate correlate i prublemi cù e funzioni sperimentali di attivazione).
Header solu per richieste à i siti di Google chì currispondenu à e maschere "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.<>" è "*.youtube.", è mandatu via HTTPS. In u modu incognito, l'intestazione ùn hè micca populata, ma se u prufilu Google autenticatu di l'utilizatore cambia à un prufilu d'ospiti o quandu una operazione di sbulicità di dati hè chjamata, l'intestazione ùn hè micca resettata è cuntinueghja à esse mandatu cù u listessu valore.
L'intestazione hè dichjarata chì ùn cuntene micca infurmazione persunale è descrive solu u statutu di installazione di Chrome è e funzioni sperimentali attive. Se a telemetria di l'usu di u navigatore è u rapportu di crash sò disattivati in i paràmetri, a generazione di u valore di l'intestazione di basa X-Client-Data usa solu 13 bits d'entropia (8000 combinazioni diverse), chì ùn hè micca abbastanza per l'identificazione.
Dapoi chì l'intestazione codifica ancu certi paràmetri è paràmetri di u sistema, in ultimamente u cuntenutu di X-Client-Data hè abbastanza adattatu cum'è una fonte addiziale di dati per l'identificazione indiretta di l'utilizatori in un cortu periodu di tempu (e capacità sperimentali sò attivate è disattivate cù u tempu, chì porta à u cambiamentu periodicu di u valore in X-Client-Data).
In ogni casu, in più di l'entropia iniziale, quandu generà u valore X-Client-Data, ci hè ancu una sequenza di sementi restituita da i servitori di Google è secondu u paese, l'indirizzu IP è altri criterii chì Google considera impurtante (per esempiu, nunda impedisce. vi da vultà una grande sequenza aleatoria, chì diventerà l'identificatore esatta).
Inoltre, cuntrollà cù maschere di duminiu di Google quandu invià X-Client-Data ùn esclude micca situazioni induve un attaccu pò registrà un duminiu cum'è "youtube.xn--55qx5d" è cumincià à cullà identificatori.
Source: opennet.ru