Podczas dyskusji Google ujednolici zawartość nagłówka HTTP User-Agent, twórca przeglądarki Kiwi do nagłówka HTTP „X-Client-Data” pozostającego w przeglądarce Chrome, który potencjalnie Ogólne rozporządzenie o ochronie danych obowiązujące w Unii Europejskiej (). Podczas Krytykowano także dwoistość działań Google’a, co z jednej strony aby blokować ukrytą identyfikację i śledzenie działań użytkownika, ale z drugiej strony nie spieszy się z usunięciem obsługi nagłówka X-Client-Data z Chrome, który może służyć do identyfikowania instancji przeglądarki podczas uzyskiwania dostępu do usług Google.
Nagłówek X-Client-Data nie jest ukrytą funkcjonalnością i jego zachowanie takie jest w dokumentacji. Za pośrednictwem X-Client-Data Google otrzymuje dane o aktywności niektórych funkcji eksperymentalnych w przeglądarce Chrome w powiązaniu ze swoimi witrynami (na przykład podczas eksperymentu Google może aktywować określone funkcje testowe w serwisie YouTube, jeśli są one obsługiwane przez przeglądarkę lub próbować korelować problemy z aktywacyjnymi funkcjami eksperymentalnymi).
Tytuł tylko w przypadku żądań kierowanych do witryn Google pasujących do masek „*.doubleclick.net”, „*.googlesyndication.com”, „www.googleadservices.com”, „*.google.>” i „*.youtube. " i wysłane za pośrednictwem protokołu HTTPS. W trybie incognito nagłówek nie jest wypełniany, ale jeśli uwierzytelniony profil Google użytkownika zmieni się na profil gościa lub gdy zostanie wywołana operacja czyszczenia danych, nagłówek nie zostanie zresetowany i będzie nadal wysyłany z tą samą wartością.
Nagłówek nie zawiera żadnych informacji umożliwiających identyfikację użytkownika i opisuje jedynie stan instalacji przeglądarki Chrome oraz aktywne funkcje eksperymentalne. Jeśli w ustawieniach wyłączono telemetrię użytkowania przeglądarki i raportowanie awarii, wygenerowanie podstawowej wartości nagłówka X-Client-Data wykorzystuje tylko 13 bitów entropii (8000 różnych kombinacji), co nie jest wystarczające do identyfikacji.
Biorąc pod uwagę, że nagłówek koduje również niektóre ustawienia i parametry systemu, ostatecznie zawartość X-Client-Data jest całkiem odpowiednia jako dodatkowe źródło danych do pośredniej identyfikacji użytkownika w krótkim czasie (możliwości eksperymentalne są włączane i wyłączane z czasem, co prowadzi do okresowej zmiany wartości w X-Client-Data).
Jednak oprócz początkowej entropii przy generowaniu wartości X-Client-Data pojawia się także sekwencja inicjująca zwracana przez serwery Google i w zależności od kraju, adresu IP i innych kryteriów, które Google uzna za ważne (np. nic nie stoi na przeszkodzie uniemożliwisz zwrócenie dużej losowej sekwencji, która stanie się dokładnym identyfikatorem).
Ponadto sprawdzenie przy użyciu masek domen Google podczas wysyłania X-Client-Data nie wyklucza sytuacji, w których osoba atakująca może zarejestrować domenę typu „youtube.xn--55qx5d” i rozpocząć zbieranie identyfikatorów.
Źródło: opennet.ru