Apabila berbincang Google untuk menyatukan kandungan pengepala Ejen Pengguna HTTP, pembangun penyemak imbas Kiwi kepada pengepala HTTP "X-Client-Data" yang tinggal dalam Chrome, yang berpotensi Peraturan Perlindungan Data Am yang berkuat kuasa di Kesatuan Eropah (). semasa Dualiti tindakan Google juga dikritik, yang di satu pihak untuk menyekat pengenalan tersembunyi dan menjejaki tindakan pengguna, tetapi sebaliknya, ia tidak tergesa-gesa untuk mengalih keluar sokongan untuk pengepala X-Client-Data daripada Chrome, yang boleh digunakan untuk mengenal pasti kejadian penyemak imbas semasa mengakses perkhidmatan Google.
Pengepala X-Client-Data bukanlah fungsi tersembunyi dan kelakuannya adalah dalam dokumentasi. Melalui X-Client-Data, Google menerima data mengenai aktiviti ciri percubaan tertentu dalam Chrome yang berkaitan dengan tapaknya (contohnya, semasa percubaan, Google boleh mengaktifkan ciri ujian tertentu dalam Youtube jika ia disokong oleh penyemak imbas atau cuba untuk mengaitkan masalah dengan fungsi eksperimen pengaktifan).
Tajuk hanya untuk permintaan ke tapak Google yang sepadan dengan topeng β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.>" dan "*.youtube. ", dan dihantar melalui HTTPS. Dalam mod inkognito, pengepala tidak diisi, tetapi jika profil Google yang disahkan pengguna bertukar kepada profil tetamu atau apabila operasi pembersihan data dipanggil, pengepala tidak ditetapkan semula dan terus dihantar dengan nilai yang sama.
Pengepala dinyatakan tidak mengandungi maklumat yang boleh dikenal pasti secara peribadi dan hanya menerangkan status pemasangan Chrome dan ciri percubaan yang aktif. Jika telemetri penggunaan penyemak imbas dan pelaporan ranap dilumpuhkan dalam tetapan, menjana nilai pengepala X-Client-Data asas hanya menggunakan 13 bit entropi (8000 kombinasi berbeza), yang tidak mencukupi untuk pengenalan.
Memandangkan pengepala juga mengekod beberapa tetapan dan parameter sistem, akhirnya kandungan X-Client-Data agak sesuai sebagai sumber data tambahan untuk pengenalan pengguna tidak langsung dalam tempoh yang singkat (keupayaan eksperimen didayakan dan dilumpuhkan dari semasa ke semasa, yang membawa kepada perubahan nilai berkala dalam X-Client-Data).
Walau bagaimanapun, sebagai tambahan kepada entropi awal, apabila menjana nilai X-Client-Data, terdapat juga urutan benih yang dikembalikan oleh pelayan Google dan bergantung pada negara, alamat IP dan kriteria lain yang dianggap penting oleh Google (contohnya, tiada apa yang menghalang anda daripada mengembalikan urutan rawak yang besar, yang akan menjadi pengecam yang tepat).
Selain itu, menyemak menggunakan topeng domain Google semasa menghantar X-Client-Data tidak mengecualikan situasi di mana penyerang boleh mendaftarkan domain seperti "youtube.xn--55qx5d" dan mula mengumpul pengecam.
Sumber: opennet.ru