Saat berdiskusi Google akan menyatukan konten header HTTP User-Agent, pengembang browser Kiwi ke header HTTP "X-Client-Data" yang tersisa di Chrome, yang berpotensi Peraturan Perlindungan Data Umum yang berlaku di Uni Eropa (). Selama Dualitas tindakan Google juga dikritik, di satu sisi untuk memblokir identifikasi tersembunyi dan melacak tindakan pengguna, namun di sisi lain, tidak terburu-buru untuk menghapus dukungan untuk header X-Client-Data dari Chrome, yang dapat digunakan untuk mengidentifikasi instance browser saat mengakses layanan Google.
Header X-Client-Data bukanlah fungsi tersembunyi dan perilakunya tersembunyi dalam dokumentasi. Melalui X-Client-Data, Google menerima data tentang aktivitas fitur eksperimental tertentu di Chrome sehubungan dengan situsnya (misalnya, selama eksperimen, Google dapat mengaktifkan fitur pengujian tertentu di Youtube jika didukung oleh browser atau mencoba untuk menghubungkan masalah dengan aktivasi fungsi eksperimental).
Judul hanya untuk permintaan ke situs Google yang cocok dengan topeng β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.>" dan "*.youtube. ", dan dikirim melalui HTTPS. Dalam mode penyamaran, header tidak diisi, namun jika profil Google terautentikasi pengguna berubah menjadi profil tamu atau saat operasi pembersihan data dilakukan, header tidak disetel ulang dan terus dikirim dengan nilai yang sama.
Header dinyatakan tidak berisi informasi identitas pribadi dan hanya menjelaskan status pemasangan Chrome dan fitur eksperimental aktif. Jika telemetri penggunaan browser dan pelaporan kerusakan dinonaktifkan di pengaturan, menghasilkan nilai header X-Client-Data dasar hanya menggunakan 13 bit entropi (8000 kombinasi berbeda), yang tidak cukup untuk identifikasi.
Mengingat bahwa header juga mengkodekan beberapa pengaturan dan parameter sistem, pada akhirnya konten X-Client-Data cukup cocok sebagai sumber data tambahan untuk identifikasi pengguna tidak langsung dalam waktu singkat (kemampuan eksperimental diaktifkan dan dinonaktifkan seiring waktu, yang menyebabkan perubahan nilai secara berkala di X-Client-Data).
Namun, selain entropi awal, saat menghasilkan nilai X-Client-Data, ada juga urutan seed yang dikembalikan oleh server Google dan bergantung pada negara, alamat IP, dan kriteria lain yang dianggap penting oleh Google (misalnya, tidak ada yang menghalangi Anda mengembalikan urutan acak besar, yang akan menjadi pengidentifikasi yang tepat).
Selain itu, pemeriksaan menggunakan masker domain Google saat mengirim X-Client-Data tidak mengecualikan situasi di mana penyerang dapat mendaftarkan domain seperti βyoutube.xn--55qx5dβ dan mulai mengumpulkan pengidentifikasi.
Sumber: opennet.ru