Талқылағанда Google HTTP пайдаланушы-агент тақырыбының мазмұнын біріктіру үшін, Kiwi браузерінің әзірлеушісі Chrome жүйесінде қалған "X-Client-Data" HTTP тақырыбына, бұл ықтимал Еуропалық Одақтағы деректерді қорғаудың жалпы ережесі (). кезінде Google әрекеттерінің екі жақтылығы да сынға алынды, бұл бір жағынан жасырын сәйкестендіруді және пайдаланушы әрекеттерін қадағалауды бұғаттау үшін, бірақ екінші жағынан, Google қызметтеріне кіру кезінде шолғыш даналарын анықтау үшін пайдаланылуы мүмкін Chrome-дан X-Client-Data тақырыбына қолдау көрсетуді жоюға асығыс емес.
X-Client-Data тақырыбы жасырын функция емес және оның әрекеті құжаттамада. X-Client-Data арқылы Google өз сайттарына байланысты Chrome жүйесіндегі белгілі бір эксперименттік мүмкіндіктердің әрекеті туралы деректерді алады (мысалы, эксперимент кезінде Google Youtube-те белгілі бір сынақ мүмкіндіктерін іске қоса алады, егер оларға браузер қолдау көрсетсе немесе белсендіру эксперименттік функцияларымен проблемаларды корреляциялау).
тақырып тек “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google маскаларына сәйкес келетін Google сайттарына сұраулар үшін.>» және «*.youtube. ", және HTTPS арқылы жіберілді. Инкогнито режимінде тақырып толтырылмайды, бірақ пайдаланушының аутентификацияланған Google профилі қонақ профиліне өзгерсе немесе деректерді тазалау операциясы шақырылғанда, тақырып қалпына келтірілмейді және сол мәнмен жіберілуін жалғастырады.
Тақырып жеке сәйкестендіретін ақпаратты қамтымайды және тек Chrome орнату күйін және белсенді эксперименттік мүмкіндіктерді сипаттайды. Параметрлерде шолғышты пайдалану телеметриясы және бұзылу туралы есеп беру өшірілсе, негізгі X-Client-Data тақырып мәнін жасау тек 13 бит энтропияны (8000 түрлі комбинациялар) пайдаланады, бұл сәйкестендіру үшін жеткіліксіз.
Тақырып кейбір жүйе параметрлері мен параметрлерін кодтайтынын ескере отырып, сайып келгенде, X-Client-Data мазмұны қысқа уақыт ішінде жанама пайдаланушы сәйкестендіру үшін қосымша деректер көзі ретінде өте қолайлы (эксперименттік мүмкіндіктер уақыт өте келе қосылады және өшіріледі, бұл X-Client-Data) мәнінің мерзімді өзгеруіне әкеледі).
Дегенмен, X-Client-Data мәнін жасау кезінде бастапқы энтропиядан басқа, Google серверлері қайтаратын және елге, IP мекенжайына және Google маңызды деп санайтын басқа критерийлерге байланысты (мысалы, ештеңе кедергі келтірмейді) тізбегі бар. нақты идентификаторға айналатын үлкен кездейсоқ ретті қайтарудан бас тартасыз).
Сонымен қатар, X-Client-Data жіберу кезінде Google домен маскаларын пайдалануды тексеру шабуылдаушы «youtube.xn--55qx5d» сияқты доменді тіркеп, идентификаторларды жинай алатын жағдайларды жоққа шығармайды.
Ақпарат көзі: opennet.ru