X-Client-Data վերնագիր՝ որպես Chrome-ի օգտատերերի նույնականացման մեթոդ
Քննարկելիս նախաձեռնություններ Google-ը միավորելու է HTTP User-Agent վերնագրի բովանդակությունը, Kiwi բրաուզերի մշակողը ուշադրություն հրավիրեց Chrome-ում մնացած «X-Client-Data» HTTP վերնագրին, որը հնարավոր է խախտում է Եվրոպական միությունում գործող տվյալների պաշտպանության ընդհանուր կանոնակարգ (GDPR) ընթացքում քննարկումներ Քննադատվեց նաև Google-ի գործողությունների երկակիությունը, ինչը մի կողմից նպաստում էմեթոդները արգելափակել թաքնված նույնականացումը և հետևել օգտատերերի գործողություններին, բայց մյուս կողմից՝ չի շտապում հեռացնել Chrome-ից X-Client-Data վերնագրի աջակցությունը, որը կարող է օգտագործվել Google-ի ծառայություններ մուտք գործելու ժամանակ բրաուզերի օրինակները հայտնաբերելու համար:
X-Client-Data վերնագիրը թաքնված ֆունկցիոնալություն չէ և դրա վարքագիծը նկարագրված է փաստաթղթերում։ X-Client-Data-ի միջոցով Google-ը տվյալներ է ստանում Chrome-ի որոշ փորձարարական գործառույթների գործունեության վերաբերյալ՝ կապված իր կայքերի հետ (օրինակ, փորձի ժամանակ Google-ը կարող է ակտիվացնել որոշակի փորձնական գործառույթներ Youtube-ում, եթե դրանք աջակցվում են զննարկիչի կողմից կամ փորձում են կապակցել խնդիրները ակտիվացման փորձարարական գործառույթների հետ):
Վերնագիր ցուցադրվել է միայն Google կայքերին ուղղված հարցումների համար, որոնք համապատասխանում են «*.doubleclick.net», «*.googlesyndication.com», «www.googleadservices.com», «*.google.TLD>» և «*.youtube. », և ուղարկվել է HTTPS-ի միջոցով: Ինկոգնիտո ռեժիմում վերնագիրը չի լրացվում, բայց եթե օգտատիրոջ վավերացված Google պրոֆիլը վերածվում է հյուրի պրոֆիլի կամ երբ կանչվում է տվյալների մաքրման գործողություն, վերնագիրը չի վերակայվում և շարունակում է ուղարկվել նույն արժեքով:
Նշվում է, որ վերնագիրը չի պարունակում անձնապես ճանաչելի տեղեկատվություն և նկարագրում է միայն Chrome-ի տեղադրման կարգավիճակը և ակտիվ փորձնական գործառույթները: Եթե կարգավորումներում անջատված են դիտարկիչի օգտագործման հեռաչափությունը և խափանումների մասին հաշվետվությունը, X-Client-Data վերնագրի բազային արժեքը ստեղծելիս օգտագործվում է ընդամենը 13 բիթ էնտրոպիա (8000 տարբեր համակցություններ), ինչը բավարար չէ նույնականացման համար:
Հաշվի առնելով, որ վերնագիրը նաև կոդավորում է համակարգի որոշ կարգավորումներ և պարամետրեր, ի վերջո X-Client-Data-ի բովանդակությունը բավականին հարմար է որպես տվյալների լրացուցիչ աղբյուր կարճ ժամանակահատվածում օգտագործողի անուղղակի նույնականացման համար (փորձարարական հնարավորությունները միացված և անջատված են ժամանակի ընթացքում, ինչը հանգեցնում է X-Client-Data-ի արժեքի պարբերական փոփոխության):
Այնուամենայնիվ, ի լրումն նախնական էնտրոպիայի, X-Client-Data արժեքը ստեղծելիս կա նաև Google-ի սերվերների կողմից վերադարձված սերմերի հաջորդականություն և կախված երկրից, IP հասցեից և այլ չափանիշներից, որոնք Google-ը կարևոր է համարում (օրինակ՝ ոչինչ չի խանգարում. դուք վերադարձնեք մեծ պատահական հաջորդականություն, որը կդառնա ճշգրիտ նույնացուցիչը):
Բացի այդ, X-Client-Data-ն ուղարկելիս Google տիրույթի դիմակների օգտագործումը ստուգելը չի բացառում այն իրավիճակները, երբ հարձակվողը կարող է գրանցել այնպիսի տիրույթ, ինչպիսին է «youtube.xn--55qx5d» և սկսել նույնացուցիչներ հավաքել: