Počas diskusie Google o zjednotení obsahu hlavičky HTTP User-Agent, vývojár prehliadača Kiwi do zostávajúcej HTTP hlavičky „X-Client-Data“ v prehliadači Chrome, ktorá potenciálne všeobecné nariadenie o ochrane údajov (GDPR) platné v Európskej únii). V priebehu Dualita konania spoločnosti Google, ktorá na jednej strane blokovať skrytú identifikáciu a sledovanie akcií používateľov, ale na druhej strane sa neponáhľa s odstránením podpory pre hlavičku X-Client-Data z prehliadača Chrome, ktorá sa dá použiť na identifikáciu inštancií prehliadača pri prístupe k službám Google.
Hlavička X-Client-Data nie je skrytá funkcionalita a jej správanie V dokumentácii spoločnosť Google používa X-Client-Data na získavanie údajov o aktivite určitých experimentálnych funkcií v prehliadači Chrome vo vzťahu k svojim webovým stránkam (napríklad počas experimentu môže spoločnosť Google aktivovať určité testovacie funkcie na YouTube, ak ich prehliadač podporuje, alebo sa pokúsiť korelovať problémy, ktoré vznikajú pri aktivácii experimentálnych funkcií).
Titul iba pre požiadavky na stránky Google, ktoré zodpovedajú maskám „*.doubleclick.net“, „*.googlesyndication.com“, „www.googleadservices.com“, „*.google.>» a «*.youtube. „a odoslané cez HTTPS. V režime inkognito sa hlavička nevyplní, ale ak sa overený profil Google používateľa zmení na profil hosťa alebo ak sa zavolá operácia vymazania údajov, hlavička sa neresetuje a bude sa naďalej odosielať s predchádzajúcou hodnotou.
Uvádza sa, že hlavička neobsahuje osobné údaje, ale iba popisuje stav inštalácie prehliadača Chrome a aktívne experimentálne funkcie. Ak je v nastaveniach vypnutá telemetria používania prehliadača a hlásenie zlyhaní, na vygenerovanie základnej hodnoty hlavičky X-Client-Data sa použije iba 13 bitov entropie (8 000 rôznych kombinácií), čo na identifikáciu nestačí.
Vzhľadom na to, že hlavička kóduje aj niektoré systémové nastavenia a parametre, je obsah X-Client-Data v konečnom dôsledku celkom vhodný ako dodatočný zdroj údajov na nepriamu identifikáciu používateľa na krátky čas (experimentálne funkcie sa v priebehu času zapínajú a vypínajú, čo vedie k periodickým zmenám hodnoty X-Client-Data).
Okrem počiatočnej entropie sa však hodnota X-Client-Data generuje aj pomocou seed sekvencie vrátenej servermi spoločnosti Google, ktorá závisí od krajiny, IP adresy a ďalších kritérií, ktoré spoločnosť Google považuje za dôležité (napríklad nič mu nebráni vo vrátení väčšej náhodnej sekvencie, ktorá by slúžila ako presný identifikátor).
Okrem toho kontrola masiek domén spoločnosti Google pri odosielaní údajov X-Client-Data nevylučuje situácie, v ktorých by útočník mohol zaregistrovať doménu ako „youtube.xn--55qx5d“ a začať zhromažďovať identifikátory.
Zdroj: opennet.ru
