Al discutir
El encabezado X-Client-Data no es una funcionalidad oculta y su comportamiento es
Título
Se afirma que el encabezado no contiene información de identificación personal y solo describe el estado de instalación de Chrome y las funciones experimentales activas. Si la telemetría de uso del navegador y los informes de fallos están deshabilitados en la configuración, la generación del valor base del encabezado X-Client-Data utiliza solo 13 bits de entropía (8000 combinaciones diferentes), lo que no es suficiente para la identificación.
Teniendo en cuenta que el encabezado también codifica algunas configuraciones y parámetros del sistema, en última instancia, el contenido de X-Client-Data es bastante adecuado como fuente adicional de datos para la identificación indirecta del usuario en un corto período de tiempo (las capacidades experimentales se habilitan y deshabilitan a lo largo de tiempo, lo que conduce a un cambio periódico de valor en X-Client-Data).
Sin embargo, además de la entropía inicial, al generar el valor X-Client-Data, también hay una secuencia semilla devuelta por los servidores de Google y dependiendo del país, dirección IP y otros criterios que Google considere importantes (por ejemplo, nada impide evitará que devuelva una secuencia aleatoria grande, que se convertirá en el identificador exacto).
Además, comprobar el uso de máscaras de dominio de Google al enviar X-Client-Data no excluye situaciones en las que un atacante puede registrar un dominio como "youtube.xn--55qx5d" y comenzar a recopilar identificadores.
Fuente: opennet.ru