Pri razpravi Google za poenotenje vsebine glave HTTP User-Agent, razvijalec brskalnika Kiwi v glavo HTTP »X-Client-Data«, ki ostane v Chromu, kar potencialno Splošna uredba o varstvu podatkov, ki velja v Evropski uniji (). Med Kritizirana je bila tudi dvojnost Googlovih dejanj, ki po eni strani za blokiranje prikrite identifikacije in sledenje uporabniškim dejanjem, po drugi strani pa se ne mudi odstraniti podpore za glavo X-Client-Data iz Chroma, ki se lahko uporablja za identifikacijo primerkov brskalnika pri dostopu do Googlovih storitev.
Glava X-Client-Data ni skrita funkcionalnost in njeno vedenje je v dokumentaciji. Prek X-Client-Data Google prejema podatke o dejavnosti določenih eksperimentalnih funkcij v Chromu v povezavi s svojimi spletnimi mesti (na primer, med poskusom lahko Google aktivira določene preskusne funkcije v YouTubu, če jih brskalnik podpira, ali poskuša korelirajte težave z aktivacijskimi eksperimentalnimi funkcijami).
Naslov samo za zahteve za Googlova spletna mesta, ki se ujemajo z maskami »*.doubleclick.net«, »*.googlesyndication.com«, »www.googleadservices.com«, »*.google.>" in "*.youtube. «, in poslano prek HTTPS. V načinu brez beleženja zgodovine se glava ne izpolni, vendar če se uporabniški preverjeni Google profil spremeni v profil gosta ali ko se pokliče operacija čiščenja podatkov, se glava ne ponastavi in se še naprej pošilja z isto vrednostjo.
Navedeno je, da glava ne vsebuje nobenih osebnih podatkov in opisuje samo stanje namestitve Chroma in aktivne eksperimentalne funkcije. Če sta v nastavitvah onemogočena telemetrija uporabe brskalnika in poročanje o zrušitvah, generiranje osnovne vrednosti glave X-Client-Data uporablja le 13 bitov entropije (8000 različnih kombinacij), kar ni dovolj za identifikacijo.
Glede na to, da so v glavi zakodirane tudi nekatere sistemske nastavitve in parametri, je navsezadnje vsebina X-Client-Data povsem primerna kot dodaten vir podatkov za posredno identifikacijo uporabnika v kratkem času (eksperimentalne zmožnosti se skozi čas omogočajo in onemogočajo, kar vodi do periodične spremembe vrednosti v X-Client-Data).
Vendar pa poleg začetne entropije pri generiranju vrednosti X-Client-Data obstaja tudi začetno zaporedje, ki ga vrnejo Googlovi strežniki in je odvisno od države, naslova IP in drugih kriterijev, ki se Googlu zdijo pomembni (na primer nič ne preprečuje vrnete veliko naključno zaporedje, ki bo postalo natančen identifikator).
Poleg tega preverjanje z uporabo Googlovih domenskih mask pri pošiljanju X-Client-Data ne izključuje situacij, ko lahko napadalec registrira domeno, kot je »youtube.xn--55qx5d«, in začne zbirati identifikatorje.
Vir: opennet.ru