Nalika rembugan Google kanggo nggabungake isi header HTTP User-Agent, pangembang browser Kiwi menyang header HTTP "X-Client-Data" sing isih ana ing Chrome, sing duweni potensi Peraturan Pangreksan Data Umum sing ditrapake ing Uni Eropa (). sak Dualitas tumindak Google uga dikritik, sing ing tangan siji kanggo mblokir identifikasi sing didhelikake lan nelusuri tumindak pangguna, nanging ing sisih liya, ora cepet-cepet mbusak dhukungan kanggo header X-Client-Data saka Chrome, sing bisa digunakake kanggo ngenali kedadeyan browser nalika ngakses layanan Google.
Header X-Client-Data ora didhelikake fungsi lan prilaku ing dokumentasi. Liwat X-Client-Data, Google nampa data babagan aktivitas fitur eksperimen tartamtu ing Chrome sing ana hubungane karo situs kasebut (contone, sajrone eksperimen, Google bisa ngaktifake fitur tes tartamtu ing Youtube yen didhukung dening browser utawa nyoba kanggo hubungane masalah karo fungsi eksperimen aktivasi).
Header mung kanggo panjaluk menyang situs Google sing cocog karo topeng "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.<>" lan "*.youtube.", lan dikirim liwat HTTPS. Ing mode incognito, header ora diisi, nanging yen profil Google sing diotentikasi pangguna diganti dadi profil tamu utawa nalika operasi ngresiki data diarani, header ora direset lan terus dikirim kanthi nilai sing padha.
Header kasebut ora ngemot informasi sing bisa dingerteni pribadi lan mung nggambarake status instalasi Chrome lan fitur eksperimen sing aktif. Yen telemetri panggunaan browser lan laporan kacilakan dipateni ing setelan, ngasilake nilai header X-Client-Data dhasar mung nggunakake 13 bit entropi (8000 kombinasi beda), sing ora cukup kanggo identifikasi.
Amarga header uga ngode sawetara setelan lan paramèter sistem, pungkasane isi X-Client-Data cukup cocok minangka sumber data tambahan kanggo identifikasi pangguna ora langsung ing wektu sing cendhak (kemampuan eksperimen diaktifake lan dipateni liwat wektu, kang ndadékaké kanggo owah-owahan periodik nilai ing X-Client-Data).
Nanging, saliyane kanggo entropi awal, nalika ngasilake nilai X-Client-Data, ana uga urutan winih sing dibalekake dening server Google lan gumantung saka negara, alamat IP lan kritΓ©ria liyane sing dianggep Google penting (contone, ora ana sing nyegah. sampeyan ora bisa ngasilake urutan acak sing gedhe, sing bakal dadi pengenal sing tepat).
Kajaba iku, mriksa nggunakake topeng domain Google nalika ngirim X-Client-Data ora ngilangi kahanan sing panyerang bisa ndhaptar domain kaya "youtube.xn--55qx5d" lan miwiti ngumpulake pengenal.
Source: opennet.ru