By it besprekken Google om de ynhâld fan 'e HTTP User-Agent-header te ferienigjen, ûntwikkelder fan' e Kiwi-blêder nei de "X-Client-Data" HTTP-header dy't oerbliuwt yn Chrome, wat mooglik Algemiene regeling foar gegevensbeskerming yn 'e Jeropeeske Uny (). Tidens De dualiteit fan 'e aksjes fan Google waard ek bekritisearre, dy't oan' e iene kant om ferburgen identifikaasje te blokkearjen en brûkersaksjes te folgjen, mar oan 'e oare kant is it gjin haast om stipe foar de X-Client-Data-header fan Chrome te ferwiderjen, dy't kin wurde brûkt om browsereksimplaren te identifisearjen by tagong ta Google-tsjinsten.
De X-Client-Data-koptekst is net ferburgen funksjonaliteit en har gedrach is yn 'e dokumintaasje. Fia X-Client-Data ûntfangt Google gegevens oer de aktiviteit fan bepaalde eksperimintele funksjes yn Chrome yn ferbân mei har siden (bygelyks, tidens in eksperimint kin Google bepaalde testfunksjes yn Youtube aktivearje as se wurde stipe troch de browser of besykje te problemen mei aktivearring eksperimintele funksjes korrelearje).
Header allinich foar fersiken nei Google-siden dy't oerienkomme mei de maskers "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" en "*.youtube. ", en ferstjoerd fia HTTPS. Yn incognito-modus wurdt de koptekst net befolke, mar as it authentisearre Google-profyl fan de brûker feroaret yn in gastprofyl of as in gegevensferwideringsoperaasje wurdt oanroppen, wurdt de koptekst net weromset en bliuwt ferstjoerd mei deselde wearde.
De koptekst wurdt oanjûn gjin persoanlik identifisearjende ynformaasje te befetsjen en beskriuwt allinich de Chrome-ynstallaasjestatus en aktive eksperimintele funksjes. As blêdergebrûk-telemetry en crashrapportaazje binne útskeakele yn ynstellings, brûkt it generearjen fan de basis X-Client-Data-headerwearde mar 13 bits fan entropy (8000 ferskillende kombinaasjes), wat net genôch is foar identifikaasje.
Sjoen dat de koptekst ek guon systeemynstellingen en parameters kodearret, is de ynhâld fan X-Client-Data úteinlik frij geskikt as in ekstra boarne fan gegevens foar yndirekte brûkersidentifikaasje yn in koarte perioade fan tiid (eksperimintele mooglikheden binne ynskeakele en útskeakele oer de tiid, wat liedt ta periodike feroaring fan wearde yn X-Client-Data).
Neist de inisjele entropy is d'r by it generearjen fan de X-Client-Data-wearde lykwols ek in siedsekwinsje weromjûn troch Google-tsjinners en ôfhinklik fan it lân, IP-adres en oare kritearia dy't Google wichtich fynt (bygelyks neat foarkomt jo fan it werombringen fan in grutte willekeurige folchoarder, dy't de krekte identifier wurde sil).
Derneist slút it kontrolearjen fan Google-domeinmaskers by it ferstjoeren fan X-Client-Data situaasjes net út wêr't in oanfaller in domein as "youtube.xn--55qx5d" registrearje kin en identifisers begjinne te sammeljen.
Boarne: opennet.ru