Beim Diskutieren Google vereinheitlicht den Inhalt des HTTP-User-Agent-Headers, Entwickler des Kiwi-Browsers auf den in Chrome verbleibenden HTTP-Header „X-Client-Data“, der möglicherweise Die in der Europäischen Union geltende Datenschutz-Grundverordnung (). Während Kritisiert wurde auch die Dualität des Vorgehens von Google, die einerseits Um die versteckte Identifizierung und Verfolgung von Benutzeraktionen zu blockieren, hat man es andererseits nicht eilig, die Unterstützung für den X-Client-Data-Header aus Chrome zu entfernen, der zur Identifizierung von Browserinstanzen beim Zugriff auf Google-Dienste verwendet werden kann.
Der X-Client-Data-Header ist keine versteckte Funktionalität und sein Verhalten ist es in der Dokumentation. Über X-Client-Data erhält Google Daten über die Aktivität bestimmter experimenteller Funktionen in Chrome im Zusammenhang mit seinen Websites (z. B. kann Google während eines Experiments bestimmte Testfunktionen in Youtube aktivieren, wenn diese vom Browser unterstützt werden oder dies versuchen). korrelieren Probleme mit experimentellen Aktivierungsfunktionen).
Kopfzeile nur für Anfragen an Google-Websites, die den Masken „*.doubleclick.net“, „*.googlesyndication.com“, „www.googleadservices.com“, „*.google“ entsprechen.>“ und „*.youtube. ", und über HTTPS gesendet. Im Inkognito-Modus wird der Header nicht ausgefüllt, aber wenn sich das authentifizierte Google-Profil des Nutzers in ein Gastprofil ändert oder ein Datenlöschvorgang aufgerufen wird, wird der Header nicht zurückgesetzt und weiterhin mit demselben Wert gesendet.
Der Header soll keine persönlich identifizierbaren Informationen enthalten und lediglich den Chrome-Installationsstatus und aktive experimentelle Funktionen beschreiben. Wenn Browser-Nutzungstelemetrie und Absturzberichte in den Einstellungen deaktiviert sind, werden beim Generieren des Basiswerts des X-Client-Data-Headers nur 13 Bit Entropie (8000 verschiedene Kombinationen) verwendet, was für die Identifizierung nicht ausreicht.
Wenn man bedenkt, dass der Header auch einige Systemeinstellungen und Parameter kodiert, eignen sich die Inhalte von X-Client-Data letztendlich durchaus als zusätzliche Datenquelle zur indirekten Identifizierung des Benutzers in kurzer Zeit (experimentelle Funktionen werden aktiviert und deaktiviert). Zeit, die zu periodischen Wertänderungen in den X-Client-Daten führt).
Zusätzlich zur anfänglichen Entropie gibt es jedoch bei der Generierung des X-Client-Data-Werts auch eine Seed-Sequenz, die von den Google-Servern zurückgegeben wird und je nach Land, IP-Adresse und anderen Kriterien, die Google für wichtig hält (z. B. nichts verhindert). Sie davon ab, eine große Zufallsfolge zurückzugeben, die zur genauen Kennung wird).
Darüber hinaus schließt die Überprüfung mithilfe von Google-Domänenmasken beim Senden von X-Client-Daten Situationen nicht aus, in denen ein Angreifer eine Domäne wie „youtube.xn--55qx5d“ registrieren und mit dem Sammeln von Identifikatoren beginnen kann.
Source: opennet.ru