Při diskuzi Google sjednotí obsah hlavičky HTTP User-Agent, vývojář prohlížeče Kiwi na hlavičku HTTP „X-Client-Data“ zbývající v Chrome, což potenciálně Obecné nařízení o ochraně osobních údajů platné v Evropské unii (). Během Rovněž byla kritizována dualita jednání Google, což na jedné straně blokovat skrytou identifikaci a sledování uživatelských akcí, ale na druhou stranu nespěchá s odstraněním podpory hlavičky X-Client-Data z Chrome, pomocí které lze identifikovat instance prohlížeče při přístupu ke službám Google.
Hlavička X-Client-Data není skrytá funkce a její chování ano v dokumentaci. Prostřednictvím X-Client-Data získává Google data o aktivitě určitých experimentálních funkcí v prohlížeči Chrome v souvislosti s jeho weby (např. během experimentu může Google aktivovat určité testovací funkce na Youtube, pokud jsou podporovány prohlížečem nebo se pokusit korelovat problémy s aktivačními experimentálními funkcemi).
Titul pouze pro požadavky na stránky Google, které odpovídají maskám „*.doubleclick.net“, „*.googlesyndication.com“, „www.googleadservices.com“, „*.google.>“ a „*.youtube. “ a odesláno přes HTTPS. V anonymním režimu se záhlaví nevyplní, ale pokud se ověřený profil Google uživatele změní na profil hosta nebo když je zavolána operace vymazání dat, záhlaví se neresetuje a bude se nadále odesílat se stejnou hodnotou.
V záhlaví je uvedeno, že neobsahuje žádné osobní údaje a popisuje pouze stav instalace Chrome a aktivní experimentální funkce. Pokud je v nastavení zakázána telemetrie používání prohlížeče a hlášení o selhání, generování základní hodnoty hlavičky X-Client-Data používá pouze 13 bitů entropie (8000 různých kombinací), což k identifikaci nestačí.
Vzhledem k tomu, že hlavička také kóduje některá systémová nastavení a parametry, je v konečném důsledku obsah X-Client-Data docela vhodný jako doplňkový zdroj dat pro nepřímou identifikaci uživatele v krátkém časovém úseku (experimentální možnosti se časem povolují a zakazují, což vede k periodické změně hodnoty v X-Client-Data).
Kromě počáteční entropie však při generování hodnoty X-Client-Data existuje také počáteční sekvence vrácená servery Google a v závislosti na zemi, IP adrese a dalších kritériích, která Google považuje za důležitá (například nic nebrání vám vrátí velkou náhodnou sekvenci, která se stane přesným identifikátorem).
Kromě toho kontrola pomocí masek domény Google při odesílání dat X-Client-Data nevylučuje situace, kdy si útočník může zaregistrovat doménu jako „youtube.xn--55qx5d“ a začít shromažďovat identifikátory.
Zdroj: opennet.ru