ဆွေးနွေးတဲ့အခါ Kiwi browser ၏ developer ဖြစ်သော HTTP User-Agent ခေါင်းစီး၏ အကြောင်းအရာများကို ပေါင်းစည်းရန် Google ဖြစ်နိုင်ချေရှိသော Chrome တွင်ကျန်ရှိသော "X-Client-Data" HTTP ခေါင်းစီးသို့ ဥရောပသမဂ္ဂတွင် အထွေထွေဒေတာကာကွယ်ရေးစည်းမျဉ်း () ကာလအတွင်း Google ၏ လုပ်ဆောင်ချက်နှစ်ခုသည် တစ်ဖက်တွင်လည်း ဝေဖန်ခံရသည်။ လျှို့ဝှက်ခွဲခြားသတ်မှတ်ခြင်းနှင့် အသုံးပြုသူလုပ်ဆောင်ချက်များကို ခြေရာခံခြင်းတို့ကို ပိတ်ဆို့ရန်၊ သို့သော် Google ဝန်ဆောင်မှုများကိုဝင်ရောက်သည့်အခါ ဘရောက်ဆာဖြစ်ရပ်များကိုသိရှိရန်အသုံးပြုနိုင်သည့် Chrome မှ X-Client-Data ခေါင်းစီးအတွက် ပံ့ပိုးမှုအား ဖယ်ရှားရန် အလျင်စလိုမဖြစ်ပါ။
X-Client-Data header သည် လျှို့ဝှက်လုပ်ဆောင်နိုင်စွမ်းမဟုတ်ပဲ ၎င်း၏အမူအကျင့်များဖြစ်သည်။ စာရွက်စာတမ်း၌။ X-Client-Data မှတဆင့်၊ Google သည် ၎င်း၏ဆိုက်များနှင့်ဆက်စပ်၍ Chrome ရှိ အချို့သော စမ်းသပ်အင်္ဂါရပ်များ၏ လုပ်ဆောင်ချက်အပေါ် ဒေတာကို လက်ခံရရှိသည် (ဥပမာ၊ စမ်းသပ်မှုတစ်ခုအတွင်း၊ Google သည် ဘရောက်ဆာမှ ပံ့ပိုးပေးပါက သို့မဟုတ် ကြိုးစားပါက Youtube တွင် အချို့သော စမ်းသပ်မှုအင်္ဂါရပ်များကို အသက်သွင်းနိုင်သည် အသက်သွင်းခြင်းဆိုင်ရာ စမ်းသပ်လုပ်ဆောင်ချက်များနှင့် ပြဿနာများကို ဆက်စပ်ပေးပါသည်။)
header ကို မျက်နှာဖုံးများ “*.doubleclick.net”၊ “*.googlesyndication.com”၊ “www.googleadservices.com”၊ “*.google.>" နှင့် "*.youtube. " နှင့် HTTPS မှတဆင့် ပေးပို့ခဲ့သည်။ ရုပ်ဖျက်မုဒ်တွင်၊ ခေါင်းစီးကို ဖြည့်မထားသော်လည်း၊ အသုံးပြုသူ၏ စစ်မှန်သော Google ပရိုဖိုင်သည် ဧည့်သည်ပရိုဖိုင်သို့ ပြောင်းလဲသွားပါက သို့မဟုတ် ဒေတာရှင်းလင်းခြင်းလုပ်ငန်းကို ခေါ်သည့်အခါ၊ ခေါင်းစီးအား ပြန်လည်သတ်မှတ်မည်မဟုတ်ဘဲ တူညီသောတန်ဖိုးဖြင့် ဆက်လက်ပေးပို့မည်ဖြစ်သည်။
ခေါင်းစီးတွင် ပုဂ္ဂိုလ်ရေးအရ ခွဲခြားသိမြင်နိုင်သော အချက်အလက်မပါဝင်ကြောင်း ဖော်ပြထားပြီး Chrome တပ်ဆင်မှုအခြေအနေနှင့် လက်ရှိစမ်းသပ်မှုအင်္ဂါရပ်များကိုသာ ဖော်ပြပါသည်။ ဘရောက်ဆာအသုံးပြုမှု တယ်လီမီတာနှင့် ပျက်စီးမှုအစီရင်ခံခြင်းတို့ကို ဆက်တင်များတွင် ပိတ်ထားပါက၊ အခြေခံ X-Client-Data ခေါင်းစီးတန်ဖိုးကို ဖန်တီးခြင်းသည် ခွဲခြားသတ်မှတ်ရန်အတွက် မလုံလောက်သော 13 bits of entropy (8000 အမျိုးမျိုး) ကို အသုံးပြုသည်။
ခေါင်းစီးသည် အချို့သော စနစ်ဆက်တင်များနှင့် ကန့်သတ်ဘောင်များကို ကုဒ်လုပ်ထားသောကြောင့် နောက်ဆုံးတွင် X-Client-Data ၏ အကြောင်းအရာများသည် အချိန်တိုအတွင်း သွယ်ဝိုက်အသုံးပြုသူဖော်ထုတ်ခြင်းအတွက် ဒေတာအပိုရင်းမြစ်တစ်ခုအဖြစ် အလွန်သင့်လျော်သည် (စမ်းသပ်လုပ်ဆောင်နိုင်စွမ်းများကို အချိန်ကြာလာသည်နှင့်အမျှ ဖွင့်ထားပြီး ပိတ်ထားခြင်း၊ ၎င်းသည် X-Client-Data တွင် အချိန်အပိုင်းအခြားအလိုက် ပြောင်းလဲခြင်းသို့ ဦးတည်စေသည်။
သို့ရာတွင်၊ ကနဦး entropy အပြင်၊ X-Client-Data တန်ဖိုးကို ထုတ်လုပ်သည့်အခါတွင်၊ Google ဆာဗာများမှ ပြန်ပေးသည့် မျိုးစေ့အစီအစဥ်တစ်ခုလည်း ရှိပြီး နိုင်ငံ၊ IP လိပ်စာနှင့် Google မှ အရေးကြီးသည်ဟု ယူဆသော အခြားစံနှုန်းများပေါ် မူတည်၍ (ဥပမာ၊ မည်သည့်အရာမှ တားဆီးထားခြင်းမရှိပါ။ အတိအကျသတ်မှတ်သူဖြစ်လာမည့် ကြီးမားသောကျပန်းအစီအစဥ်ကို သင်ပြန်ပေးလိုက်သည်)။
ထို့အပြင်၊ X-Client-Data ပေးပို့သည့်အခါ Google ဒိုမိန်းမျက်နှာဖုံးများကို အသုံးပြု၍ စစ်ဆေးခြင်းသည် တိုက်ခိုက်သူသည် “youtube.xn--55qx5d” ကဲ့သို့သော ဒိုမိန်းတစ်ခုကို စာရင်းသွင်းနိုင်ပြီး ခွဲခြားသတ်မှတ်မှုများကို စတင်စုဆောင်းနိုင်သည့် အခြေအနေများကို မပါဝင်ပါ။
source: opennet.ru