Når man diskuterer
X-Client-Data-headeren er ikke skjult funksjonalitet og dens oppførsel er det
Tittel
Overskriften er oppgitt å ikke inneholde personlig identifiserbar informasjon og beskriver bare Chrome-installasjonsstatusen og aktive eksperimentelle funksjoner. Hvis nettleserbrukstelemetri og krasjrapportering er deaktivert i innstillingene, vil generering av basisverdien for X-Client-Data-header kun bruke 13 biter med entropi (8000 forskjellige kombinasjoner), noe som ikke er nok for identifikasjon.
Tatt i betraktning at overskriften også koder for noen systeminnstillinger og parametere, er innholdet i X-Client-Data til syvende og sist ganske egnet som en ekstra datakilde for indirekte identifikasjon av brukeren i løpet av kort tid (eksperimentelle muligheter er aktivert og deaktivert over tid, noe som fører til periodisk endring av verdi i X-Client-Data).
Men i tillegg til den innledende entropien, når du genererer X-Client-Data-verdien, er det også en frøsekvens som returneres av Google-servere og avhengig av landet, IP-adressen og andre kriterier som Google anser som viktige (for eksempel er det ingenting som hindrer deg fra å returnere en stor tilfeldig sekvens , som blir den eksakte identifikatoren).
I tillegg utelukker ikke sjekk ved bruk av Google-domenemasker når du sender X-Client-Data situasjoner der en angriper kan registrere et domene som "youtube.xn--55qx5d" og begynne å samle identifikatorer.
Kilde: opennet.ru