En discutant Google va unifier le contenu de l'en-tête HTTP User-Agent, développeur du navigateur Kiwi à l'en-tête HTTP "X-Client-Data" restant dans Chrome, qui potentiellement Règlement Général sur la Protection des Données en vigueur dans l'Union Européenne (). Pendant La dualité des actions de Google a également été critiquée, ce qui d’une part pour bloquer l'identification cachée et le suivi des actions des utilisateurs, mais d'un autre côté, il n'est pas pressé de supprimer la prise en charge de l'en-tête X-Client-Data de Chrome, qui peut être utilisé pour identifier les instances du navigateur lors de l'accès aux services Google.
L'en-tête X-Client-Data n'est pas une fonctionnalité cachée et son comportement est dans la documentation. Grâce à X-Client-Data, Google reçoit des données sur l'activité de certaines fonctionnalités expérimentales de Chrome en relation avec ses sites (par exemple, lors d'une expérimentation, Google peut activer certaines fonctionnalités de test dans Youtube si elles sont prises en charge par le navigateur ou essayer de corréler les problèmes avec les fonctions expérimentales d’activation).
Titre uniquement pour les requêtes vers des sites Google correspondant aux masques « *.doubleclick.net », « *.googlesyndication.com », « www.googleadservices.com », « *.google.>" et "*.youtube. ", et envoyé via HTTPS. En mode navigation privée, l'en-tête n'est pas renseigné, mais si le profil Google authentifié de l'utilisateur devient un profil invité ou lorsqu'une opération d'effacement des données est appelée, l'en-tête n'est pas réinitialisé et continue d'être envoyé avec la même valeur.
L'en-tête ne contient aucune information personnellement identifiable et décrit uniquement l'état d'installation de Chrome et les fonctionnalités expérimentales actives. Si la télémétrie d'utilisation du navigateur et les rapports de crash sont désactivés dans les paramètres, la génération de la valeur d'en-tête X-Client-Data de base utilise seulement 13 bits d'entropie (8000 XNUMX combinaisons différentes), ce qui n'est pas suffisant pour l'identification.
Étant donné que l'en-tête code également certains paramètres et paramètres du système, le contenu de X-Client-Data est finalement tout à fait approprié comme source de données supplémentaire pour l'identification indirecte de l'utilisateur dans un court laps de temps (les capacités expérimentales sont activées et désactivées au fil du temps, ce qui conduit à un changement périodique de valeur dans X-Client-Data).
Cependant, en plus de l'entropie initiale, lors de la génération de la valeur X-Client-Data, il existe également une séquence seed renvoyée par les serveurs de Google et selon le pays, l'adresse IP et d'autres critères que Google juge importants (par exemple, rien n'empêche vous empêche de renvoyer une grande séquence aléatoire, qui deviendra l'identifiant exact).
De plus, la vérification à l'aide des masques de domaine Google lors de l'envoi de X-Client-Data n'exclut pas les situations dans lesquelles un attaquant peut enregistrer un domaine tel que « youtube.xn--55qx5d » et commencer à collecter des identifiants.
Source: opennet.ru