Kui arutatakse Google ühendab Kiwi brauseri arendaja HTTP User-Agent päise sisu Chrome'i jäävale HTTP-päisele "X-Client-Data", mis võib olla Euroopa Liidus kehtiv andmekaitse üldmäärus (). ajal Samuti kritiseeriti Google'i tegevuse kahesust, mis ühelt poolt varjatud tuvastamise ja kasutajatoimingute jälgimise blokeerimiseks, kuid teisalt ei kiirusta Chrome'ist eemaldama tuge X-Client-Data päisele, mida saab kasutada Google'i teenustele juurdepääsul brauseri eksemplaride tuvastamiseks.
X-Client-Data päis ei ole peidetud funktsionaalsus ja selle käitumine on dokumentatsioonis. X-Client-Data kaudu saab Google andmeid Chrome'i teatud eksperimentaalsete funktsioonide tegevuse kohta seoses oma saitidega (näiteks katse ajal saab Google aktiveerida Youtube'is teatud testfunktsioonid, kui brauser neid toetab või proovida seostada probleeme aktiveerimise eksperimentaalsete funktsioonidega).
Pealkiri ainult päringute puhul Google'i saitidele, mis vastavad maskidele „*.doubleclick.net”, „*.googlesyndication.com”, „www.googleadservices.com”, „*.google.>" ja "*.youtube. " ja saadeti HTTPS-i kaudu. Inkognito režiimis päist ei täideta, kuid kui kasutaja autentitud Google'i profiil muutub külalisprofiiliks või kui kutsutakse välja andmete kustutamise toiming, siis päist ei lähtestata ja see saadetakse edasi sama väärtusega.
Väidetavalt ei sisalda päis isikut tuvastavat teavet ja kirjeldab ainult Chrome'i installi olekut ja aktiivseid katsefunktsioone. Kui brauseri kasutamise telemeetria ja krahhi aruandlus on seadetes keelatud, kasutab X-Client-Data päise baasväärtuse genereerimine ainult 13 bitti entroopiat (8000 erinevat kombinatsiooni), millest tuvastamiseks ei piisa.
Arvestades, et päises on kodeeritud ka osa süsteemi seadistusi ja parameetreid, siis lõppkokkuvõttes on X-Client-Data sisu üsna sobiv lisaandmete allikaks kasutaja kaudseks tuvastamiseks lühikese aja jooksul (eksperimentaalsed võimalused on lubatud ja keelatud aeg, mis põhjustab X-Client-Data väärtuse perioodilise muutumise).
X-Client-Data väärtuse genereerimisel on aga lisaks esialgsele entroopiale ka Google'i serverite poolt tagastatav seemnejada ja olenevalt riigist, IP-aadressist ja muudest Google'i poolt oluliseks peetavatest kriteeriumitest (nt miski ei takista te ei tagasta suurt juhuslikku jada , millest saab täpne identifikaator).
Lisaks ei välista X-Client-Data saatmisel Google'i domeenimaskide abil kontrollimine olukordi, kus ründaja saab registreerida domeeni, näiteks "youtube.xn--55qx5d" ja hakata identifikaatoreid koguma.
Allikas: opennet.ru