Diskutuojant „Google“ suvienodins HTTP vartotojo agento antraštės turinį, „Kiwi“ naršyklės kūrėją į „X-Client-Data“ HTTP antraštę, likusią „Chrome“, kuri gali būti Europos Sąjungoje galiojantis Bendrasis duomenų apsaugos reglamentas (). Per „Google“ veiksmų dvilypumas taip pat buvo kritikuojamas, o tai, viena vertus blokuoti paslėptą atpažinimą ir sekti vartotojo veiksmus, tačiau, kita vertus, neskuba iš Chrome šalinti X-Client-Data antraštės palaikymo, kurią naudojant galima identifikuoti naršyklės egzempliorius prisijungus prie Google paslaugų.
X-Client-Data antraštė nėra paslėpta funkcija, o jos elgesys yra dokumentacijoje. Naudodama „X-Client-Data“, „Google“ gauna duomenis apie tam tikrų eksperimentinių „Chrome“ funkcijų, susijusių su jos svetainėmis, veiklą (pavyzdžiui, eksperimento metu „Google“ gali suaktyvinti tam tikras bandomąsias funkcijas „Youtube“, jei jas palaiko naršyklė arba bando koreliuoti problemas su aktyvinimo eksperimentinėmis funkcijomis).
Pavadinimas tik užklausoms „Google“ svetainėms, atitinkančioms kaukes „*.doubleclick.net“, „*.googlesyndication.com“, „www.googleadservices.com“, „*.google.>“ ir „*.youtube. “, ir išsiųstas per HTTPS. Inkognito režimu antraštė neužpildoma, bet jei naudotojo autentifikuotas „Google“ profilis pakeičiamas į svečio profilį arba kai iškviečiama duomenų išvalymo operacija, antraštė nenustatoma iš naujo ir toliau siunčiama ta pačia verte.
Teigiama, kad antraštėje nėra asmenį identifikuojančios informacijos, o aprašoma tik „Chrome“ diegimo būsena ir aktyvios eksperimentinės funkcijos. Jei nustatymuose išjungta naršyklės naudojimo telemetrija ir gedimų ataskaitų teikimas, generuojant bazinę X-Client-Data antraštės reikšmę, naudojama tik 13 entropijos bitų (8000 skirtingų derinių), kurių neužtenka identifikuoti.
Atsižvelgiant į tai, kad antraštė taip pat koduoja kai kuriuos sistemos nustatymus ir parametrus, galiausiai X-Client-Data turinys yra gana tinkamas kaip papildomas duomenų šaltinis netiesioginiam vartotojo identifikavimui per trumpą laiką (eksperimentinės galimybės įjungiamos ir išjungiamos laikui bėgant, dėl to periodiškai keičiasi X-Client-Data vertė).
Tačiau, be pradinės entropijos, generuojant X-Client-Data reikšmę, taip pat yra pradinė seka, kurią grąžina Google serveriai ir priklausomai nuo šalies, IP adreso ir kitų kriterijų, kuriuos Google laiko svarbiais (pvz., niekas netrukdo Jūs negalite grąžinti didelės atsitiktinės sekos , kuri taps tiksliu identifikatoriumi).
Be to, tikrinant naudojant „Google“ domeno kaukes siunčiant „X-Client-Data“, neatmetama situacijų, kai užpuolikas gali užregistruoti domeną, pvz., „youtube.xn--55qx5d“, ir pradėti rinkti identifikatorius.
Šaltinis: opennet.ru