هدر X-Client-Data به عنوان روشی برای شناسایی کاربران کروم
هنگام بحث ابتکارات گوگل محتویات هدر کاربر-عامل HTTP، توسعه دهنده مرورگر Kiwi را یکپارچه کند متوجه شد به هدر HTTP «X-Client-Data» باقی مانده در Chrome، که احتمالاً نقض می کند مقررات عمومی حفاظت از داده ها در اتحادیه اروپا (GDPR). در حین بحث ها دوگانگی اقدامات گوگل نیز مورد انتقاد قرار گرفت که از یک سو ترویج می کندروش ها برای جلوگیری از شناسایی پنهان و ردیابی اقدامات کاربر، اما از طرف دیگر، عجله ای برای حذف پشتیبانی از هدر X-Client-Data از کروم نیست، که می تواند برای شناسایی موارد مرورگر هنگام دسترسی به خدمات Google استفاده شود.
هدر X-Client-Data عملکردی پنهان نیست و رفتار آن مخفی است شرح داده شده در مستندات از طریق X-Client-Data، Google دادههای مربوط به فعالیت برخی از ویژگیهای آزمایشی در کروم را در ارتباط با سایتهای خود دریافت میکند (به عنوان مثال، در طول یک آزمایش، Google میتواند ویژگیهای آزمایشی خاصی را در YouTube فعال کند در صورتی که توسط مرورگر پشتیبانی شوند یا تلاش کنند مشکلات را با توابع آزمایشی فعال سازی مرتبط می کند).
عنوان به نمایش گذاشته فقط برای درخواستهایی به سایتهای Google که با ماسکهای "*.doubleclick.net"، "*.googlesyndication.com"، "www.googleadservices.com"، "*.google" مطابقت دارند.TLD>" و "*.youtube. "، و از طریق HTTPS ارسال شد. در حالت ناشناس، هدر پر نمی شود، اما اگر نمایه Google احراز هویت شده کاربر به نمایه مهمان تغییر کند یا زمانی که عملیات پاکسازی داده فراخوانی شود، هدر بازنشانی نمی شود و با همان مقدار ارسال می شود.
عنوان شده است که حاوی اطلاعات قابل شناسایی شخصی نیست و فقط وضعیت نصب Chrome و ویژگیهای آزمایشی فعال را توصیف میکند. اگر تله متری استفاده از مرورگر و گزارش خرابی در تنظیمات غیرفعال باشد، تولید مقدار هدر X-Client-Data پایه تنها از 13 بیت آنتروپی (8000 ترکیب مختلف) استفاده می کند که برای شناسایی کافی نیست.
با توجه به اینکه هدر برخی تنظیمات و پارامترهای سیستم را نیز رمزگذاری می کند، در نهایت محتویات X-Client-Data به عنوان منبع اضافی داده برای شناسایی غیرمستقیم کاربر در مدت زمان کوتاه کاملاً مناسب است (قابلیت های آزمایشی با گذشت زمان فعال و غیرفعال می شوند، که منجر به تغییر دوره ای مقدار در X-Client-Data می شود).
با این حال، علاوه بر آنتروپی اولیه، هنگام تولید مقدار X-Client-Data، یک seed seed نیز توسط سرورهای Google برگردانده می شود و بسته به کشور، آدرس IP و سایر معیارهایی که گوگل آن را مهم می داند (به عنوان مثال، هیچ چیز مانع از آن نمی شود. شما از بازگرداندن یک دنباله تصادفی بزرگ، که به شناسه دقیق تبدیل می شود).
علاوه بر این، بررسی استفاده از ماسکهای دامنه Google هنگام ارسال X-Client-Data، موقعیتهایی را که مهاجم میتواند دامنهای مانند «youtube.xn--55qx5d» را ثبت کند و شروع به جمعآوری شناسهها کند، مستثنی نمیکند.