Όταν συζητάμε Google να ενοποιήσει τα περιεχόμενα της κεφαλίδας HTTP User-Agent, προγραμματιστής του προγράμματος περιήγησης Kiwi στην κεφαλίδα HTTP "X-Client-Data" που απομένει στο Chrome, η οποία ενδεχομένως Γενικός Κανονισμός Προστασίας Δεδομένων που ισχύει στην Ευρωπαϊκή Ένωση (). Στη διάρκεια Επικρίθηκε επίσης η διττότητα των ενεργειών της Google, η οποία αφενός για να αποκλείσετε την κρυφή αναγνώριση και παρακολούθηση ενεργειών χρήστη, αλλά από την άλλη πλευρά, δεν βιάζεται να καταργήσετε την υποστήριξη για την κεφαλίδα X-Client-Data από το Chrome, η οποία μπορεί να χρησιμοποιηθεί για τον εντοπισμό παρουσιών του προγράμματος περιήγησης κατά την πρόσβαση στις υπηρεσίες Google.
Η κεφαλίδα X-Client-Data δεν είναι κρυφή λειτουργικότητα και η συμπεριφορά της είναι στην τεκμηρίωση. Μέσω του X-Client-Data, η Google λαμβάνει δεδομένα σχετικά με τη δραστηριότητα ορισμένων πειραματικών λειτουργιών στο Chrome σε σχέση με τους ιστότοπούς της (για παράδειγμα, κατά τη διάρκεια ενός πειράματος, η Google μπορεί να ενεργοποιήσει ορισμένες δοκιμαστικές λειτουργίες στο Youtube, εάν υποστηρίζονται από το πρόγραμμα περιήγησης ή προσπαθήσει να συσχετίζουν προβλήματα με πειραματικές συναρτήσεις ενεργοποίησης).
Τίτλος μόνο για αιτήματα σε ιστότοπους της Google που αντιστοιχούν στις μάσκες "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" και "*.youtube. ", και εστάλη μέσω HTTPS. Σε κατάσταση ανώνυμης περιήγησης, η κεφαλίδα δεν συμπληρώνεται, αλλά εάν το επαληθευμένο προφίλ Google του χρήστη αλλάξει σε προφίλ επισκέπτη ή όταν καλείται μια λειτουργία εκκαθάρισης δεδομένων, η κεφαλίδα δεν επαναφέρεται και συνεχίζει να αποστέλλεται με την ίδια τιμή.
Η κεφαλίδα αναφέρεται ότι δεν περιέχει στοιχεία προσωπικής ταυτοποίησης και περιγράφει μόνο την κατάσταση εγκατάστασης του Chrome και τις ενεργές πειραματικές λειτουργίες. Εάν η τηλεμετρία χρήσης του προγράμματος περιήγησης και η αναφορά σφαλμάτων είναι απενεργοποιημένες στις ρυθμίσεις, η δημιουργία της βασικής τιμής κεφαλίδας X-Client-Data χρησιμοποιεί μόνο 13 bit εντροπίας (8000 διαφορετικούς συνδυασμούς), κάτι που δεν είναι αρκετό για αναγνώριση.
Λαμβάνοντας υπόψη ότι η κεφαλίδα κωδικοποιεί επίσης ορισμένες ρυθμίσεις και παραμέτρους συστήματος, τελικά τα περιεχόμενα του X-Client-Data είναι αρκετά κατάλληλα ως πρόσθετη πηγή δεδομένων για έμμεση αναγνώριση του χρήστη σε σύντομο χρονικό διάστημα (οι πειραματικές δυνατότητες ενεργοποιούνται και απενεργοποιούνται χρόνο, η οποία οδηγεί σε περιοδική αλλαγή της τιμής στο X-Client-Data).
Ωστόσο, εκτός από την αρχική εντροπία, κατά τη δημιουργία της τιμής X-Client-Data, επιστρέφεται επίσης μια σειρά από τους διακομιστές της Google και ανάλογα με τη χώρα, τη διεύθυνση IP και άλλα κριτήρια που η Google θεωρεί σημαντικά (για παράδειγμα, τίποτα δεν εμποδίζει από την επιστροφή μιας μεγάλης τυχαίας ακολουθίας , η οποία θα γίνει το ακριβές αναγνωριστικό).
Επιπλέον, ο έλεγχος με χρήση μάσκας τομέα Google κατά την αποστολή X-Client-Data δεν αποκλείει περιπτώσεις όπου ένας εισβολέας μπορεί να καταχωρήσει έναν τομέα όπως το "youtube.xn--55qx5d" και να αρχίσει να συλλέγει αναγνωριστικά.
Πηγή: opennet.ru