талкуулап жатканда Google HTTP User-Agent аталышынын мазмунун бириктирет, Kiwi браузеринин иштеп чыгуучусу Chrome'до калган "X-Client-Data" HTTP башына Европа Биримдигинде колдонулуп жаткан маалыматтарды коргоонун жалпы регламенти (). Жүрүшүндө Google иш-аракеттеринин эки тараптуулугу да сынга алынган, бул бир жагынан жашыруун идентификацияны жана колдонуучунун аракеттерине көз салууну бөгөттөө үчүн, бирок экинчи жагынан, Google кызматтарына кирүүдө браузердин инстанцияларын аныктоо үчүн колдонула турган Chrome'дон X-Client-Data башын колдоону алып салууга шашылбайт.
X-Client-Data аталышы жашыруун функция эмес жана анын жүрүм-туруму документтерде. X-Client-Data аркылуу Google өзүнүн сайттарына байланыштуу Chrome'догу айрым эксперименталдык функциялардын иш-аракети жөнүндө маалыматтарды алат (мисалы, эксперимент учурунда Google YouTube'дун кээ бир сыноо функцияларын, эгерде алар браузер тарабынан колдоого алынса же аракет кылса, жандырат. активдештирүү эксперименталдык функциялары менен көйгөйлөрдү байланыштырыңыз).
баш “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.< маскаларына дал келген Google сайттарына суроо-талаптар үчүн гана>" жана "*.youtube." жана HTTPS аркылуу жөнөтүлөт. Жашыруун режимде баш маалымат толтурулбайт, бирок колдонуучунун аутентификацияланган Google профили конок профилине өзгөрсө же маалыматтарды тазалоо операциясы чакырылса, баш маалымат баштапкы абалга келтирилбейт жана ошол эле мааниде жөнөтүлө берет.
Аталышы жеке аныктоочу маалыматты камтыбайт жана Chrome орнотуу статусун жана активдүү эксперименталдык мүмкүнчүлүктөрдү гана сүрөттөйт. Эгер серепчинин колдонулушунун телеметриясы жана ката жөнүндө отчетту орнотуулар өчүрүлгөн болсо, базалык X-Client-Data баш маанисин түзүү энтропиянын 13 бит гана (8000 түрдүү комбинация) колдонот, бул идентификация үчүн жетишсиз.
Баш аты кээ бир тутум орнотууларын жана параметрлерин коддогондугун эске алсак, акыры X-Client-Data мазмуну кыска убакыттын ичинде кыйыр колдонуучуну идентификациялоо үчүн кошумча маалымат булагы катары абдан ылайыктуу (эксперименталдык мүмкүнчүлүктөр убакыттын өтүшү менен иштетилет жана өчүрүлөт, бул X-Client-Dataдагы маанинин мезгил-мезгили менен өзгөрүшүнө алып келет).
Бирок, X-Client-Data маанисин түзүүдө баштапкы энтропиядан тышкары, Google серверлери тарабынан кайтарылган жана өлкөгө, IP дарекке жана Google маанилүү деп эсептеген башка критерийлерге (мисалы, эч нерсе тоскоол болбойт) ырааттуулугу бар. так идентификатор боло турган чоң кокустук ырааттуулукту кайтаруудан.
Мындан тышкары, X-Client-Data жөнөтүүдө Google домен маскаларын колдонууну текшерүү чабуулчу “youtube.xn--55qx5d” сыяктуу доменди каттап, идентификаторлорду чогулта башташы мүмкүн болгон жагдайларды жокко чыгарбайт.
Source: opennet.ru