Al discutir Google unificará el contenido del encabezado HTTP User-Agent, desarrollador del navegador Kiwi al encabezado HTTP "X-Client-Data" que queda en Chrome, lo que potencialmente Reglamento General de Protección de Datos vigente en la Unión Europea (). Durante También se criticó la dualidad de las acciones de Google, que por un lado para bloquear la identificación oculta y el seguimiento de las acciones del usuario, pero, por otro lado, no tiene prisa por eliminar de Chrome la compatibilidad con el encabezado X-Client-Data, que se puede utilizar para identificar instancias del navegador al acceder a los servicios de Google.
El encabezado X-Client-Data no es una funcionalidad oculta y su comportamiento es en la documentación. A través de X-Client-Data, Google recibe datos sobre la actividad de determinadas funciones experimentales en Chrome en relación con sus sitios (por ejemplo, durante un experimento, Google puede activar determinadas funciones de prueba en Youtube si son compatibles con el navegador o si intenta correlacionar problemas con funciones experimentales de activación).
Título solo para solicitudes a sitios de Google que coincidan con las máscaras “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" y "*.youtube. ", y enviado a través de HTTPS. En el modo incógnito, el encabezado no se completa, pero si el perfil de Google autenticado del usuario cambia a un perfil de invitado o cuando se llama a una operación de borrado de datos, el encabezado no se restablece y continúa enviándose con el mismo valor.
Se afirma que el encabezado no contiene información de identificación personal y solo describe el estado de instalación de Chrome y las funciones experimentales activas. Si la telemetría de uso del navegador y los informes de fallos están deshabilitados en la configuración, la generación del valor base del encabezado X-Client-Data utiliza solo 13 bits de entropía (8000 combinaciones diferentes), lo que no es suficiente para la identificación.
Teniendo en cuenta que el encabezado también codifica algunas configuraciones y parámetros del sistema, en última instancia, el contenido de X-Client-Data es bastante adecuado como fuente adicional de datos para la identificación indirecta del usuario en un corto período de tiempo (las capacidades experimentales se habilitan y deshabilitan a lo largo de tiempo, lo que conduce a un cambio periódico de valor en X-Client-Data).
Sin embargo, además de la entropía inicial, al generar el valor X-Client-Data, también hay una secuencia semilla devuelta por los servidores de Google y dependiendo del país, dirección IP y otros criterios que Google considere importantes (por ejemplo, nada impide evitará que devuelva una secuencia aleatoria grande, que se convertirá en el identificador exacto).
Además, comprobar el uso de máscaras de dominio de Google al enviar X-Client-Data no excluye situaciones en las que un atacante puede registrar un dominio como "youtube.xn--55qx5d" y comenzar a recopilar identificadores.
Fuente: opennet.ru