Apspriežot Google, lai apvienotu HTTP User-Agent galvenes saturu, Kiwi pārlūkprogrammas izstrādātājs uz Chrome atlikušo HTTP galveni "X-Client-Data", kas, iespējams, Vispārīgā datu aizsardzības regula, kas ir spēkā Eiropas Savienībā (). Laikā Tika kritizēta arī Google darbību dualitāte, kas no vienas puses bloķēt slēpto identifikāciju un lietotāju darbību izsekošanu, bet, no otras puses, nesteidzas noņemt atbalstu no Chrome galvenes X-Client-Data, ar kuru var identificēt pārlūkprogrammas gadījumus, piekļūstot Google pakalpojumiem.
X-Client-Data galvene nav slēpta funkcionalitāte, un tās darbība ir tāda dokumentācijā. Izmantojot X-Client-Data, Google saņem datus par noteiktu eksperimentālo funkciju darbību pārlūkā Chrome saistībā ar savām vietnēm (piemēram, eksperimenta laikā Google var aktivizēt noteiktas testa funkcijas pakalpojumā Youtube, ja tās atbalsta pārlūkprogramma vai mēģināt korelē problēmas ar aktivizēšanas eksperimentālajām funkcijām).
Virsraksts tikai pieprasījumiem Google vietnēm, kas atbilst maskām “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" un "*.youtube. ", un nosūtīts, izmantojot HTTPS. Inkognito režīmā galvene netiek aizpildīta, taču, ja lietotāja autentificētais Google profils tiek mainīts uz viesa profilu vai tiek izsaukta datu dzēšanas darbība, galvene netiek atiestatīta un tiek turpināta sūtīt ar tādu pašu vērtību.
Ir norādīts, ka galvenē nav ietverta personu identificējoša informācija, un tajā ir aprakstīts tikai Chrome instalēšanas statuss un aktīvās eksperimentālās funkcijas. Ja iestatījumos ir atspējota pārlūkprogrammas lietojuma telemetrija un avāriju ziņošana, ģenerējot pamata X-Client-Data galvenes vērtību, tiek izmantoti tikai 13 entropijas biti (8000 dažādas kombinācijas), kas nav pietiekami identifikācijai.
Ņemot vērā, ka galvenē ir arī kodēti daži sistēmas iestatījumi un parametri, galu galā X-Client-Data saturs ir diezgan piemērots kā papildu datu avots netiešai lietotāja identificēšanai īsā laika periodā (eksperimentālās iespējas tiek iespējotas un atspējotas laiks, kas izraisa periodiskas X-Client-Data vērtības izmaiņas).
Taču papildus sākotnējai entropijai X-Client-Data vērtības veidošanā tiek izmantota arī Google serveru atgrieztā sākuma secība un atkarībā no valsts, IP adreses un citiem kritērijiem, ko Google uzskata par svarīgiem (piemēram, nekas neliedz jums no lielas nejaušas secības atgriešanas, kas kļūs par precīzu identifikatoru).
Turklāt pārbaude, izmantojot Google domēna maskas, sūtot X-Client-Data, neizslēdz situācijas, kad uzbrucējs var reģistrēt domēnu, piemēram, “youtube.xn--55qx5d”, un sākt vākt identifikatorus.
Avots: opennet.ru