議論するとき Google、HTTP User-Agentヘッダーの内容を統一へ、Kiwiブラウザ開発者 Chrome に残っている「X-Client-Data」HTTP ヘッダーに、潜在的に 欧州連合で施行されている一般データ保護規則 ()。 その間 Google の行動の二重性も批判されました。 隠蔽された識別とユーザーアクションの追跡をブロックするためですが、その一方で、Google サービスにアクセスするときにブラウザインスタンスを識別するために使用できる X-Client-Data ヘッダーのサポートを Chrome から削除することは急いでいません。
X-Client-Data ヘッダーは隠された機能ではなく、その動作は次のとおりです。 ドキュメントにあります。 X-Client-Data を通じて、Google は、そのサイトに関連する Chrome の特定の実験的機能のアクティビティに関するデータを受け取ります(たとえば、実験中、Google は、ブラウザーでサポートされている場合や、実験中に Youtube で特定のテスト機能を有効にすることができます)。問題を活性化実験関数と関連付けます)。
タイトル マスク「*.doubleclick.net」、「*.googlesyndication.com」、「www.googleadservices.com」、「*.google.」に一致する Google サイトへのリクエストのみ。>」と「*.youtube. " を送信し、HTTPS 経由で送信します。 シークレット モードでは、ヘッダーは設定されませんが、ユーザーの認証された Google プロファイルがゲスト プロファイルに変更された場合、またはデータ消去操作が呼び出された場合、ヘッダーはリセットされず、同じ値で送信され続けます。
ヘッダーには個人を特定できる情報は含まれておらず、Chrome のインストール ステータスとアクティブな実験的機能のみが説明されていると述べられています。 ブラウザーの使用状況テレメトリとクラッシュ レポートが設定で無効になっている場合、基本 X-Client-Data ヘッダー値の生成では 13 ビットのエントロピー (8000 の異なる組み合わせ) のみが使用されるため、識別には十分ではありません。
ヘッダーが一部のシステム設定とパラメーターもエンコードしていることを考えると、最終的には、X-Client-Data の内容は、短期間で間接的にユーザーを識別するための追加のデータ ソースとして非常に適しています (実験的な機能は時間の経過とともに有効になったり無効になったりします)。これにより、X-Client-Data の値が定期的に変更されます)。
ただし、初期エントロピーに加えて、X-Client-Data 値を生成するときに、国、IP アドレス、および Google が重要とみなすその他の基準に応じて、Google サーバーによって返されるシード シーケンスもあります (たとえば、何も妨げるものはありません)。正確な識別子となる大きなランダム シーケンスを返す必要がなくなります)。
さらに、X-Client-Data の送信時に Google ドメイン マスクを使用してチェックしても、攻撃者が「youtube.xn--55qx5d」のようなドメインを登録して識別子の収集を開始できる状況を排除するものではありません。
出所: オープンネット.ru