Ao discutir Google unificará o conteúdo do cabeçalho HTTP User-Agent, desenvolvedor do navegador Kiwi ao cabeçalho HTTP "X-Client-Data" restante no Chrome, o que potencialmente Regulamento Geral de Proteção de Dados em vigor na União Europeia (). Durante A dualidade das ações do Google também foi criticada, que por um lado para bloquear a identificação oculta e rastrear as ações do usuário, mas por outro lado, não tem pressa em remover o suporte para o cabeçalho X-Client-Data do Chrome, que pode ser usado para identificar instâncias do navegador ao acessar os serviços do Google.
O cabeçalho X-Client-Data não é uma funcionalidade oculta e seu comportamento é na documentação. Através do X-Client-Data, o Google recebe dados sobre a atividade de determinados recursos experimentais no Chrome em conexão com seus sites (por exemplo, durante um experimento, o Google pode ativar determinados recursos de teste no Youtube se eles forem suportados pelo navegador ou tentar correlacionar problemas com funções experimentais de ativação).
Título somente para solicitações a sites do Google que correspondam às máscaras “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" e "*.youtube. ", e enviado via HTTPS. No modo de navegação anônima, o cabeçalho não é preenchido, mas se o perfil autenticado do Google do usuário mudar para um perfil de convidado ou quando uma operação de limpeza de dados for chamada, o cabeçalho não será redefinido e continuará a ser enviado com o mesmo valor.
O cabeçalho não contém informações de identificação pessoal e apenas descreve o status de instalação do Chrome e os recursos experimentais ativos. Se a telemetria de uso do navegador e o relatório de falhas estiverem desabilitados nas configurações, a geração do valor base do cabeçalho X-Client-Data usa apenas 13 bits de entropia (8000 combinações diferentes), o que não é suficiente para identificação.
Dado que o cabeçalho também codifica algumas configurações e parâmetros do sistema, em última análise, o conteúdo do X-Client-Data é bastante adequado como uma fonte adicional de dados para identificação indireta do usuário em um curto período de tempo (capacidades experimentais são habilitadas e desabilitadas ao longo do tempo, o que leva à mudança periódica de valor em X-Client-Data).
Porém, além da entropia inicial, ao gerar o valor X-Client-Data, há também uma sequência seed retornada pelos servidores do Google e dependendo do país, endereço IP e outros critérios que o Google considere importantes (por exemplo, nada impede você evite retornar uma grande sequência aleatória, que se tornará o identificador exato).
Além disso, verificar o uso de máscaras de domínio do Google ao enviar X-Client-Data não exclui situações em que um invasor pode registrar um domínio como “youtube.xn--55qx5d” e começar a coletar identificadores.
Fonte: opennet.ru