Pri diskusii Google zjednotí obsah hlavičky HTTP User-Agent, vývojár prehliadača Kiwi na hlavičku HTTP „X-Client-Data“ zostávajúcu v prehliadači Chrome, ktorá potenciálne Všeobecné nariadenie o ochrane údajov platné v Európskej únii (). Počas Kritizovaná bola aj dualita akcií Google, čo na jednej strane blokovať skrytú identifikáciu a sledovanie akcií používateľov, no na druhej strane sa neponáhľa s odstránením podpory hlavičky X-Client-Data z Chrome, pomocou ktorej možno identifikovať inštancie prehliadača pri prístupe k službám Google.
Hlavička X-Client-Data nie je skrytá funkcia a jej správanie áno v dokumentácii. Prostredníctvom X-Client-Data získava Google údaje o aktivite určitých experimentálnych funkcií v prehliadači Chrome v súvislosti s jeho stránkami (napr. počas experimentu môže Google aktivovať určité testovacie funkcie na Youtube, ak sú podporované prehliadačom alebo sa pokúsiť korelovať problémy s aktivačnými experimentálnymi funkciami).
Titul iba pre požiadavky na stránky Google, ktoré zodpovedajú maskám „*.doubleclick.net“, „*.googlesyndication.com“, „www.googleadservices.com“, „*.google.>“ a „*.youtube. “ a odoslaná cez HTTPS. V režime inkognito sa hlavička nevyplní, ale ak sa overený profil Google používateľa zmení na profil hosťa alebo keď sa vyvolá operácia vymazania údajov, hlavička sa neresetuje a bude sa naďalej odosielať s rovnakou hodnotou.
V hlavičke sa uvádza, že neobsahuje žiadne informácie umožňujúce osobnú identifikáciu a popisuje iba stav inštalácie prehliadača Chrome a aktívne experimentálne funkcie. Ak je v nastaveniach vypnutá telemetria používania prehliadača a hlásenie o zlyhaní, generovanie základnej hodnoty hlavičky X-Client-Data používa iba 13 bitov entropie (8000 rôznych kombinácií), čo na identifikáciu nestačí.
Vzhľadom na to, že hlavička kóduje aj niektoré systémové nastavenia a parametre, v konečnom dôsledku je obsah X-Client-Data celkom vhodný ako dodatočný zdroj údajov na nepriamu identifikáciu používateľa v krátkom časovom období (experimentálne možnosti sa časom zapínajú a vypínajú, čo vedie k periodickej zmene hodnoty v X-Client-Data).
Okrem počiatočnej entropie však pri generovaní hodnoty X-Client-Data existuje aj počiatočná sekvencia vrátená servermi Google a v závislosti od krajiny, adresy IP a ďalších kritérií, ktoré spoločnosť Google považuje za dôležité (napríklad nič nebráni vám vráti veľkú náhodnú sekvenciu, ktorá sa stane presným identifikátorom).
Okrem toho kontrola pomocou masiek domény Google pri odosielaní údajov X-Client-Data nevylučuje situácie, keď si útočník môže zaregistrovať doménu ako „youtube.xn--55qx5d“ a začať zbierať identifikátory.
Zdroj: opennet.ru