Beim Diskutieren
Der X-Client-Data-Header ist keine versteckte Funktionalität und sein Verhalten ist es
Kopfzeile
Der Header soll keine persönlich identifizierbaren Informationen enthalten und lediglich den Chrome-Installationsstatus und aktive experimentelle Funktionen beschreiben. Wenn Browser-Nutzungstelemetrie und Absturzberichte in den Einstellungen deaktiviert sind, werden beim Generieren des Basiswerts des X-Client-Data-Headers nur 13 Bit Entropie (8000 verschiedene Kombinationen) verwendet, was für die Identifizierung nicht ausreicht.
Wenn man bedenkt, dass der Header auch einige Systemeinstellungen und Parameter kodiert, eignen sich die Inhalte von X-Client-Data letztendlich durchaus als zusätzliche Datenquelle zur indirekten Identifizierung des Benutzers in kurzer Zeit (experimentelle Funktionen werden aktiviert und deaktiviert). Zeit, die zu periodischen Wertänderungen in den X-Client-Daten führt).
Zusätzlich zur anfänglichen Entropie gibt es jedoch bei der Generierung des X-Client-Data-Werts auch eine Seed-Sequenz, die von den Google-Servern zurückgegeben wird und je nach Land, IP-Adresse und anderen Kriterien, die Google für wichtig hält (z. B. nichts verhindert). Sie davon ab, eine große Zufallsfolge zurückzugeben, die zur genauen Kennung wird).
Darüber hinaus schließt die Überprüfung mithilfe von Google-Domänenmasken beim Senden von X-Client-Daten Situationen nicht aus, in denen ein Angreifer eine Domäne wie „youtube.xn--55qx5d“ registrieren und mit dem Sammeln von Identifikatoren beginnen kann.
Source: opennet.ru