Kun keskustellaan
X-Client-Data-otsikko ei ole piilotettu toiminto ja sen käyttäytyminen on
Otsikko
Otsikko ei sisällä henkilökohtaisia tunnistetietoja, ja se kuvaa vain Chromen asennuksen tilaa ja aktiivisia kokeellisia ominaisuuksia. Jos selaimen käytön telemetria ja kaatumisraportointi on poistettu käytöstä asetuksista, X-Client-Data-perusotsikon arvon luominen käyttää vain 13 bittiä entropiaa (8000 eri yhdistelmää), mikä ei riitä tunnistamiseen.
Ottaen huomioon, että otsikko koodaa myös joitain järjestelmäasetuksia ja parametreja, X-Client-Datan sisältö soveltuu lopulta varsin lisätietolähteeksi käyttäjän epäsuoraan tunnistamiseen lyhyessä ajassa (kokeelliset ominaisuudet otetaan käyttöön ja poistetaan käytöstä ajan myötä, mikä johtaa ajoittain muuttuvaan X-Client-Data-arvon muutokseen).
X-Client-Data-arvoa luotaessa on kuitenkin alkuperäisen entropian lisäksi myös Googlen palvelimien palauttama siemensekvenssi riippuen maasta, IP-osoitteesta ja muista Googlen tärkeiksi katsomista kriteereistä (esim. mikään ei estä et palauta suurta satunnaista sarjaa , josta tulee tarkka tunniste).
Lisäksi tarkistaminen Googlen verkkotunnusmaskien avulla X-Client-Data-tietoja lähetettäessä ei sulje pois tilanteita, joissa hyökkääjä voi rekisteröidä verkkotunnuksen, kuten "youtube.xn--55qx5d", ja alkaa kerätä tunnisteita.
Lähde: opennet.ru