Quando si discute Google unifica i contenuti dell'intestazione HTTP User-Agent, sviluppatore del browser Kiwi all'intestazione HTTP "X-Client-Data" rimanente in Chrome, che potenzialmente Regolamento generale sulla protezione dei dati in vigore nell’Unione Europea (). Durante È stata criticata anche la dualità delle azioni di Google, che da un lato per bloccare l'identificazione nascosta e il tracciamento delle azioni dell'utente, ma d'altra parte non ha fretta di rimuovere il supporto per l'intestazione X-Client-Data da Chrome, che può essere utilizzata per identificare le istanze del browser quando si accede ai servizi Google.
L'intestazione X-Client-Data non è una funzionalità nascosta e il suo comportamento lo è nella documentazione. Attraverso X-Client-Data, Google riceve dati sull'attività di alcune funzionalità sperimentali in Chrome in relazione ai suoi siti (ad esempio, durante un esperimento, Google può attivare alcune funzionalità di test su Youtube se sono supportate dal browser o provare a correlare i problemi con le funzioni sperimentali di attivazione).
Titolo solo per le richieste ai siti Google che corrispondono alle maschere “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" e "*.youtube. " e inviato tramite HTTPS. In modalità di navigazione in incognito, l'intestazione non viene popolata, ma se il profilo Google autenticato dell'utente cambia in un profilo ospite o quando viene richiamata un'operazione di cancellazione dei dati, l'intestazione non viene reimpostata e continua a essere inviata con lo stesso valore.
Si dichiara che l'intestazione non contiene informazioni di identificazione personale e descrive solo lo stato dell'installazione di Chrome e le funzionalità sperimentali attive. Se la telemetria sull'utilizzo del browser e la segnalazione degli arresti anomali sono disabilitati nelle impostazioni, la generazione del valore dell'intestazione X-Client-Data di base utilizza solo 13 bit di entropia (8000 combinazioni diverse), che non è sufficiente per l'identificazione.
Dato che l'intestazione codifica anche alcune impostazioni e parametri di sistema, in definitiva il contenuto di X-Client-Data è abbastanza adatto come fonte aggiuntiva di dati per l'identificazione indiretta dell'utente in un breve periodo di tempo (le funzionalità sperimentali vengono abilitate e disabilitate nel tempo, che porta ad una variazione periodica del valore in X-Client-Data).
Tuttavia, oltre all'entropia iniziale, la formazione del valore X-Client-Data utilizza anche una sequenza seed restituita dai server di Google e dipendente dal Paese, dall'indirizzo IP e da altri criteri che Google ritiene importanti (ad esempio, nulla ti impedisce dalla restituzione di una grande sequenza casuale, che diventerà l'identificatore esatto).
Inoltre, il controllo utilizzando le maschere di dominio di Google durante l'invio di X-Client-Data non esclude situazioni in cui un utente malintenzionato può registrare un dominio come "youtube.xn--55qx5d" e iniziare a raccogliere identificatori.
Fonte: opennet.ru