Kui arutatakse
X-Client-Data päis ei ole peidetud funktsionaalsus ja selle käitumine on
Pealkiri
Väidetavalt ei sisalda päis isikut tuvastavat teavet ja kirjeldab ainult Chrome'i installi olekut ja aktiivseid katsefunktsioone. Kui brauseri kasutamise telemeetria ja krahhi aruandlus on seadetes keelatud, kasutab X-Client-Data päise baasväärtuse genereerimine ainult 13 bitti entroopiat (8000 erinevat kombinatsiooni), millest tuvastamiseks ei piisa.
Arvestades, et päises on kodeeritud ka osa süsteemi seadistusi ja parameetreid, siis lõppkokkuvõttes on X-Client-Data sisu üsna sobiv lisaandmete allikaks kasutaja kaudseks tuvastamiseks lühikese aja jooksul (eksperimentaalsed võimalused on lubatud ja keelatud aeg, mis põhjustab X-Client-Data väärtuse perioodilise muutumise).
X-Client-Data väärtuse genereerimisel on aga lisaks esialgsele entroopiale ka Google'i serverite poolt tagastatav seemnejada ja olenevalt riigist, IP-aadressist ja muudest Google'i poolt oluliseks peetavatest kriteeriumitest (nt miski ei takista te ei tagasta suurt juhuslikku jada , millest saab täpne identifikaator).
Lisaks ei välista X-Client-Data saatmisel Google'i domeenimaskide abil kontrollimine olukordi, kus ründaja saab registreerida domeeni, näiteks "youtube.xn--55qx5d" ja hakata identifikaatoreid koguma.
Allikas: opennet.ru