Når man diskuterer Google for å forene innholdet i HTTP User-Agent-overskriften, utvikler av Kiwi-nettleseren til "X-Client-Data" HTTP-overskriften som er igjen i Chrome, som potensielt Generell databeskyttelsesforordning i kraft i EU (). I løpet av Dualiteten i Googles handlinger ble også kritisert, som på den ene siden for å blokkere skjult identifikasjon og sporing av brukerhandlinger, men på den annen side haster det ikke med å fjerne støtten for X-Client-Data-headeren fra Chrome, som kan brukes til å identifisere nettleserforekomster ved tilgang til Google-tjenester.
X-Client-Data-headeren er ikke skjult funksjonalitet og dens oppførsel er det i dokumentasjonen. Gjennom X-Client-Data mottar Google data om aktiviteten til visse eksperimentelle funksjoner i Chrome i forbindelse med nettstedene sine (for eksempel, under et eksperiment, kan Google aktivere visse testfunksjoner i Youtube hvis de støttes av nettleseren eller prøver å korrelerer problemer med aktiveringseksperimentelle funksjoner).
Tittel bare for forespørsler til Google-nettsteder som samsvarer med maskene "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" og "*.youtube. ", og sendt via HTTPS. I inkognitomodus fylles ikke overskriften ut, men hvis brukerens autentiserte Google-profil endres til en gjesteprofil eller når en dataslettingsoperasjon blir kalt, tilbakestilles ikke overskriften og fortsetter å sendes med samme verdi.
Overskriften er oppgitt å ikke inneholde personlig identifiserbar informasjon og beskriver bare Chrome-installasjonsstatusen og aktive eksperimentelle funksjoner. Hvis nettleserbrukstelemetri og krasjrapportering er deaktivert i innstillingene, vil generering av basisverdien for X-Client-Data-header kun bruke 13 biter med entropi (8000 forskjellige kombinasjoner), noe som ikke er nok for identifikasjon.
Tatt i betraktning at overskriften også koder for noen systeminnstillinger og parametere, er innholdet i X-Client-Data til syvende og sist ganske egnet som en ekstra datakilde for indirekte identifikasjon av brukeren i løpet av kort tid (eksperimentelle muligheter er aktivert og deaktivert over tid, noe som fører til periodisk endring av verdi i X-Client-Data).
Men i tillegg til den innledende entropien, når du genererer X-Client-Data-verdien, er det også en frøsekvens som returneres av Google-servere og avhengig av landet, IP-adressen og andre kriterier som Google anser som viktige (for eksempel er det ingenting som hindrer deg fra å returnere en stor tilfeldig sekvens , som blir den eksakte identifikatoren).
I tillegg utelukker ikke sjekk ved bruk av Google-domenemasker når du sender X-Client-Data situasjoner der en angriper kan registrere et domene som "youtube.xn--55qx5d" og begynne å samle identifikatorer.
Kilde: opennet.ru