Kun keskustellaan Google yhdistää HTTP User-Agent -otsikon sisällön, Kiwi-selaimen kehittäjä Chromessa jäljellä olevaan "X-Client-Data" HTTP-otsikkoon, mikä mahdollisesti Euroopan unionissa voimassa oleva yleinen tietosuoja-asetus (). Aikana Myös Googlen toiminnan kaksinaisuutta kritisoitiin, mikä toisaalta estää piilotetun tunnistamisen ja käyttäjien toimintojen seurannan, mutta toisaalta ei ole kiirettä poistamaan tukea Chromesta X-Client-Data-otsikolle, jonka avulla voidaan tunnistaa selainesiintymiä Googlen palveluita käytettäessä.
X-Client-Data-otsikko ei ole piilotettu toiminto ja sen käyttäytyminen on dokumentaatiossa. X-Client-Datan kautta Google saa tietoja tiettyjen Chromen kokeellisten ominaisuuksien aktiivisuudesta sivustojensa yhteydessä (esimerkiksi kokeilun aikana Google voi aktivoida Youtubessa tiettyjä testiominaisuuksia, jos selain tukee niitä tai yrittää korreloivat ongelmia kokeellisten aktivointitoimintojen kanssa).
Otsikko vain pyynnöille Google-sivustoille, jotka vastaavat maskeja "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" ja "*.youtube. ", ja lähetetään HTTPS:n kautta. Incognito-tilassa otsikkoa ei täytetä, mutta jos käyttäjän todennettu Google-profiili muuttuu vierasprofiiliksi tai kun tietojen tyhjennystoiminto kutsutaan, otsikkoa ei nollata, vaan se lähetetään edelleen samalla arvolla.
Otsikko ei sisällä henkilökohtaisia tunnistetietoja, ja se kuvaa vain Chromen asennuksen tilaa ja aktiivisia kokeellisia ominaisuuksia. Jos selaimen käytön telemetria ja kaatumisraportointi on poistettu käytöstä asetuksista, X-Client-Data-perusotsikon arvon luominen käyttää vain 13 bittiä entropiaa (8000 eri yhdistelmää), mikä ei riitä tunnistamiseen.
Ottaen huomioon, että otsikko koodaa myös joitain järjestelmäasetuksia ja parametreja, X-Client-Datan sisältö soveltuu lopulta varsin lisätietolähteeksi käyttäjän epäsuoraan tunnistamiseen lyhyessä ajassa (kokeelliset ominaisuudet otetaan käyttöön ja poistetaan käytöstä ajan myötä, mikä johtaa ajoittain muuttuvaan X-Client-Data-arvon muutokseen).
X-Client-Data-arvoa luotaessa on kuitenkin alkuperäisen entropian lisäksi myös Googlen palvelimien palauttama siemensekvenssi riippuen maasta, IP-osoitteesta ja muista Googlen tärkeiksi katsomista kriteereistä (esim. mikään ei estä et palauta suurta satunnaista sarjaa , josta tulee tarkka tunniste).
Lisäksi tarkistaminen Googlen verkkotunnusmaskien avulla X-Client-Data-tietoja lähetettäessä ei sulje pois tilanteita, joissa hyökkääjä voi rekisteröidä verkkotunnuksen, kuten "youtube.xn--55qx5d", ja alkaa kerätä tunnisteita.
Lähde: opennet.ru