Bij het bespreken Google gaat de inhoud van de HTTP User-Agent-header verenigen, ontwikkelaar van de Kiwi-browser naar de HTTP-header 'X-Client-Data' die nog in Chrome aanwezig is, die mogelijk Algemene Verordening Gegevensbescherming van kracht in de Europese Unie (). Tijdens Ook de dualiteit van het handelen van Google werd bekritiseerd, enerzijds om verborgen identificatie en het volgen van gebruikersacties te blokkeren, maar aan de andere kant heeft het geen haast om de ondersteuning voor de X-Client-Data-header uit Chrome te verwijderen, die kan worden gebruikt om browserinstanties te identificeren bij toegang tot Google-services.
De X-Client-Data-header heeft geen verborgen functionaliteit en het gedrag ervan is dat ook in de documentatie. Via X-Client-Data ontvangt Google gegevens over de activiteit van bepaalde experimentele functies in Chrome in verband met zijn sites (tijdens een experiment kan Google bijvoorbeeld bepaalde testfuncties in YouTube activeren als deze door de browser worden ondersteund of proberen problemen met activeringsexperimentele functies correleren).
Titel alleen voor verzoeken aan Google-sites die overeenkomen met de maskers β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.>" en "*.youtube. ", en verzonden via HTTPS. In de incognitomodus wordt de header niet ingevuld, maar als het geverifieerde Google-profiel van de gebruiker verandert in een gastprofiel of wanneer een gegevenswisbewerking wordt aangeroepen, wordt de header niet opnieuw ingesteld en blijft deze met dezelfde waarde verzonden.
Er wordt vermeld dat de header geen persoonlijk identificeerbare informatie bevat en alleen de Chrome-installatiestatus en actieve experimentele functies beschrijft. Als telemetrie voor browsergebruik en crashrapportage zijn uitgeschakeld in de instellingen, gebruikt het genereren van de basiswaarde van de X-Client-Data-header slechts 13 bits entropie (8000 verschillende combinaties), wat niet genoeg is voor identificatie.
Gegeven dat de header ook enkele systeeminstellingen en parameters codeert, is de inhoud van X-Client-Data uiteindelijk zeer geschikt als aanvullende gegevensbron voor indirecte gebruikersidentificatie in een korte tijdsperiode (experimentele mogelijkheden worden in de loop van de tijd in- en uitgeschakeld, wat leidt tot periodieke waardeveranderingen in X-Client-Data).
Naast de initiΓ«le entropie wordt er bij het genereren van de X-Client-Data-waarde echter ook een zaadreeks geretourneerd door de servers van Google en afhankelijk van het land, het IP-adres en andere criteria die Google belangrijk acht (niets verhindert bijvoorbeeld u kunt geen grote willekeurige reeks retourneren, die de exacte identificatie zal worden).
Bovendien sluit het controleren van het gebruik van Google-domeinmaskers bij het verzenden van X-Client-gegevens situaties niet uit waarin een aanvaller een domein zoals βyoutube.xn--55qx5dβ kan registreren en kan beginnen met het verzamelen van identificatiegegevens.
Bron: opennet.ru