جڏهن بحث گوگل جي مواد کي متحد ڪرڻ لاءِ HTTP يوزر-ايجنٽ هيڊر، ڊولپر ڪيوي برائوزر جو Chrome ۾ رهيل "X-Client-Data" HTTP هيڊر ڏانهن، جيڪو ممڪن طور تي يورپي يونين ۾ طاقت ۾ جنرل ڊيٽا تحفظ ضابطو (). دوران گوگل جي عملن جي دوري تي به تنقيد ڪئي وئي، جنهن هڪ طرف لڪيل سڃاڻپ کي بلاڪ ڪرڻ ۽ صارف جي عملن کي ٽريڪ ڪرڻ لاءِ، پر ٻئي طرف، ڪروم مان X-Client-Data هيڊر جي سپورٽ کي هٽائڻ جي ڪا به جلدي ناهي، جيڪا گوگل سروسز تائين رسائي حاصل ڪرڻ وقت برائوزر مثالن جي سڃاڻپ ڪرڻ لاءِ استعمال ٿي سگهي ٿي.
X-Client-Data header لڪيل ڪارڪردگي نه آهي ۽ ان جي رويي آهي دستاويز ۾. X-Client-Data ذريعي، گوگل پنهنجي سائيٽن جي سلسلي ۾ ڪروم ۾ ڪجهه تجرباتي خاصيتن جي سرگرمي تي ڊيٽا حاصل ڪري ٿو (مثال طور، هڪ تجربي دوران، گوگل يوٽيوب ۾ ڪجهه ٽيسٽ فيچرز کي چالو ڪري سگهي ٿو جيڪڏهن اهي برائوزر جي مدد سان آهن يا ڪوشش ڪرڻ جي ڪوشش ڪريو. ايڪٽيويشن تجرباتي ڪمن سان لاڳاپيل مسئلا).
هيڊر صرف گوگل سائٽن جي درخواستن لاءِ جيڪي ماسڪ سان ملن ٿيون “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" ۽ "*.youtube. "، ۽ HTTPS ذريعي موڪليو ويو. انوگنيٽو موڊ ۾، هيڊر آباد نه آهي، پر جيڪڏهن صارف جو تصديق ٿيل گوگل پروفائل مهمان پروفائل ۾ تبديل ٿئي ٿو يا جڏهن ڊيٽا صاف ڪرڻ واري آپريشن کي سڏيو ويندو آهي، هيڊر ري سيٽ نه ڪيو ويندو آهي ۽ ساڳئي قدر سان موڪليو ويندو آهي.
هيڊر بيان ڪيو ويو آهي ته ڪابه ذاتي طور تي سڃاڻڻ واري معلومات شامل نه آهي ۽ صرف بيان ڪري ٿي Chrome تنصيب جي صورتحال ۽ فعال تجرباتي خاصيتون. جيڪڏهن برائوزر استعمال ٽيليميٽري ۽ حادثي جي رپورٽنگ سيٽنگن ۾ غير فعال آهن، بنيادي X-Client-Data هيڊر جي قيمت صرف 13 بٽ اينٽراپي (8000 مختلف مجموعن) کي استعمال ڪري ٿو، جيڪو سڃاڻپ لاء ڪافي ناهي.
ڏنو ويو آهي ته هيڊر ڪجهه سسٽم سيٽنگون ۽ پيرا ميٽرز کي انڪوڊ ڪري ٿو، آخرڪار X-Client-Data جو مواد ڪافي مناسب آهي ڊيٽا جي اضافي ذريعن جي طور تي اڻ سڌي طرح استعمال ڪندڙ جي سڃاڻپ لاءِ ٿوري وقت ۾ (تجرباتي صلاحيتون وقت سان گڏ فعال ۽ غير فعال ڪيون وينديون آهن، جيڪو X-Client-Data ۾ قدر جي وقتي تبديلي ڏانهن وٺي ٿو).
جڏهن ته، ابتدائي اينٽراپي کان علاوه، جڏهن X-Client-Data Value پيدا ڪري ٿي، اتي پڻ هڪ ٻج جو تسلسل آهي جيڪو گوگل سرورز طرفان واپس ڪيو ويو آهي ۽ ملڪ، IP پتي ۽ ٻين معيارن تي منحصر آهي جنهن کي گوگل اهم سمجهي ٿو (مثال طور، ڪجھ به نه روڪيو. توهان هڪ وڏي بي ترتيب واري ترتيب کي واپس ڪرڻ کان، جيڪو صحيح سڃاڻپ ڪندڙ بڻجي ويندو).
اضافي طور تي، X-Client-Data موڪلڻ وقت گوگل ڊومين ماسڪ استعمال ڪرڻ جي چڪاس ڪرڻ حالتن کي خارج نٿو ڪري جتي هڪ حملو ڪندڙ ڊومين رجسٽر ڪري سگهي ٿو "youtube.xn--55qx5d" ۽ سڃاڻپ ڪندڙ گڏ ڪرڻ شروع ڪري ٿو.
جو ذريعو: opennet.ru