Prilikom raspravljanja Google za objedinjavanje sadržaja zaglavlja HTTP User-Agent, programer preglednika Kiwi na HTTP zaglavlje "X-Client-Data" preostalo u Chromeu, što potencijalno Opća uredba o zaštiti podataka na snazi u Europskoj uniji (). Tijekom Također je kritizirana dvojnost Googleovih postupaka koji s jedne strane za blokiranje skrivene identifikacije i praćenja radnji korisnika, ali s druge strane, ne žuri se s uklanjanjem podrške za zaglavlje X-Client-Data iz Chromea, koje se može koristiti za identifikaciju instanci preglednika prilikom pristupa Googleovim uslugama.
Zaglavlje X-Client-Data nije skrivena funkcija, a njegovo ponašanje jest u dokumentaciji. Putem X-Client-Data, Google prima podatke o aktivnosti određenih eksperimentalnih značajki u Chromeu u vezi sa svojim stranicama (na primjer, tijekom eksperimenta Google može aktivirati određene testne značajke na Youtubeu ako ih preglednik podržava ili pokušati korelirati probleme s aktivacijskim eksperimentalnim funkcijama).
Naslov samo za zahtjeve Googleovim stranicama koje odgovaraju maskama “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" i "*.youtube. ", i šalje se putem HTTPS-a. U anonimnom načinu rada zaglavlje se ne popunjava, ali ako se korisnički autentificirani Google profil promijeni u profil gosta ili kada se pozove operacija brisanja podataka, zaglavlje se ne poništava i nastavlja se slati s istom vrijednošću.
Navedeno je da zaglavlje ne sadrži osobne podatke i samo opisuje status instalacije Chromea i aktivne eksperimentalne značajke. Ako su telemetrija korištenja preglednika i izvješćivanje o padu programa onemogućeni u postavkama, generiranje osnovne vrijednosti zaglavlja X-Client-Data koristi samo 13 bita entropije (8000 različitih kombinacija), što nije dovoljno za identifikaciju.
S obzirom da zaglavlje također kodira neke postavke i parametre sustava, u konačnici je sadržaj X-Client-Data sasvim prikladan kao dodatni izvor podataka za neizravnu identifikaciju korisnika u kratkom vremenskom razdoblju (eksperimentalne mogućnosti se tijekom vremena uključuju i isključuju, što dovodi do povremene promjene vrijednosti u X-Client-Data).
Međutim, osim početne entropije, prilikom generiranja vrijednosti X-Client-Data, postoji i početna sekvenca koju vraćaju Googleovi poslužitelji i ovisno o zemlji, IP adresi i drugim kriterijima koje Google smatra važnima (na primjer, ništa ne sprječava od vraćanja velikog nasumičnog niza, koji će postati točan identifikator).
Osim toga, provjera pomoću Google maski domene prilikom slanja X-Client-Data ne isključuje situacije u kojima napadač može registrirati domenu kao što je "youtube.xn--55qx5d" i početi prikupljati identifikatore.
Izvor: opennet.ru