En discutant
L'en-tête X-Client-Data n'est pas une fonctionnalité cachée et son comportement est
Titre
L'en-tête ne contient aucune information personnellement identifiable et décrit uniquement l'état d'installation de Chrome et les fonctionnalités expérimentales actives. Si la télémétrie d'utilisation du navigateur et les rapports de crash sont désactivés dans les paramètres, la génération de la valeur d'en-tête X-Client-Data de base utilise seulement 13 bits d'entropie (8000 XNUMX combinaisons différentes), ce qui n'est pas suffisant pour l'identification.
Étant donné que l'en-tête code également certains paramètres et paramètres du système, le contenu de X-Client-Data est finalement tout à fait approprié comme source de données supplémentaire pour l'identification indirecte de l'utilisateur dans un court laps de temps (les capacités expérimentales sont activées et désactivées au fil du temps, ce qui conduit à un changement périodique de valeur dans X-Client-Data).
Cependant, en plus de l'entropie initiale, lors de la génération de la valeur X-Client-Data, il existe également une séquence seed renvoyée par les serveurs de Google et selon le pays, l'adresse IP et d'autres critères que Google juge importants (par exemple, rien n'empêche vous empêche de renvoyer une grande séquence aléatoire, qui deviendra l'identifiant exact).
De plus, la vérification à l'aide des masques de domaine Google lors de l'envoi de X-Client-Data n'exclut pas les situations dans lesquelles un attaquant peut enregistrer un domaine tel que « youtube.xn--55qx5d » et commencer à collecter des identifiants.
Source: opennet.ru