Quando si discute
L'intestazione X-Client-Data non è una funzionalità nascosta e il suo comportamento lo è
Titolo
Si dichiara che l'intestazione non contiene informazioni di identificazione personale e descrive solo lo stato dell'installazione di Chrome e le funzionalità sperimentali attive. Se la telemetria sull'utilizzo del browser e la segnalazione degli arresti anomali sono disabilitati nelle impostazioni, la generazione del valore dell'intestazione X-Client-Data di base utilizza solo 13 bit di entropia (8000 combinazioni diverse), che non è sufficiente per l'identificazione.
Dato che l'intestazione codifica anche alcune impostazioni e parametri di sistema, in definitiva il contenuto di X-Client-Data è abbastanza adatto come fonte aggiuntiva di dati per l'identificazione indiretta dell'utente in un breve periodo di tempo (le funzionalità sperimentali vengono abilitate e disabilitate nel tempo, che porta ad una variazione periodica del valore in X-Client-Data).
Tuttavia, oltre all'entropia iniziale, la formazione del valore X-Client-Data utilizza anche una sequenza seed restituita dai server di Google e dipendente dal Paese, dall'indirizzo IP e da altri criteri che Google ritiene importanti (ad esempio, nulla ti impedisce dalla restituzione di una grande sequenza casuale, che diventerà l'identificatore esatto).
Inoltre, il controllo utilizzando le maschere di dominio di Google durante l'invio di X-Client-Data non esclude situazioni in cui un utente malintenzionato può registrare un dominio come "youtube.xn--55qx5d" e iniziare a raccogliere identificatori.
Fonte: opennet.ru