Ao discutir Google para unificar o contido da cabeceira HTTP User-Agent, desenvolvedor do navegador Kiwi á cabeceira HTTP "X-Client-Data" que queda en Chrome, que potencialmente Regulamento Xeral de Protección de Datos vixente na Unión Europea (). Durante Tamén se criticou a dualidade das accións de Google, que por unha banda para bloquear a identificación oculta e o seguimento das accións dos usuarios, pero, por outra banda, non ten présa eliminar a compatibilidade coa cabeceira X-Client-Data de Chrome, que se pode utilizar para identificar instancias do navegador ao acceder aos servizos de Google.
A cabeceira X-Client-Data non é unha funcionalidade oculta e o seu comportamento si na documentación. A través de X-Client-Data, Google recibe datos sobre a actividade de determinadas funcións experimentais en Chrome en relación cos seus sitios (por exemplo, durante un experimento, Google pode activar determinadas funcións de proba en Youtube se son compatibles co navegador ou tentar correlacionar problemas con funcións experimentais de activación).
Título só para solicitudes a sitios de Google que coincidan coas máscaras “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" e "*.youtube. ", e enviado a través de HTTPS. No modo de incógnito, a cabeceira non se enche, pero se o perfil de Google autenticado do usuario cambia a un perfil de convidado ou cando se chama a unha operación de borrado de datos, a cabeceira non se restablece e continúa a enviarse co mesmo valor.
Indícase que a cabeceira non contén información de identificación persoal e só describe o estado da instalación de Chrome e as funcións experimentais activas. Se a telemetría de uso do navegador e os informes de fallos están desactivados na configuración, a xeración do valor base da cabeceira X-Client-Data usa só 13 bits de entropía (8000 combinacións diferentes), o que non é suficiente para a identificación.
Dado que a cabeceira tamén codifica algúns axustes e parámetros do sistema, en última instancia, o contido de X-Client-Data é bastante axeitado como fonte adicional de datos para a identificación indirecta do usuario nun curto período de tempo (as capacidades experimentais están habilitadas e desactivadas co paso do tempo, o que leva a cambios periódicos de valor en X-Client-Data).
Non obstante, ademais da entropía inicial, á hora de xerar o valor X-Client-Data, tamén hai unha secuencia semente devolta polos servidores de Google e dependendo do país, do enderezo IP e doutros criterios que Google considere importantes (por exemplo, nada impide devolver unha gran secuencia aleatoria , que se converterá no identificador exacto).
Ademais, comprobar o uso de máscaras de dominio de Google ao enviar X-Client-Data non exclúe as situacións nas que un atacante pode rexistrar un dominio como "youtube.xn--55qx5d" e comezar a recoller identificadores.
Fonte: opennet.ru