Kur diskutohet Google për të unifikuar përmbajtjen e titullit HTTP User-Agent, zhvilluesi i shfletuesit Kiwi te titulli "X-Client-Data" HTTP i mbetur në Chrome, i cili potencialisht Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave në fuqi në Bashkimin Evropian (). Gjatë U kritikua edhe dualiteti i veprimeve të Google, i cili nga njëra anë për të bllokuar identifikimin e fshehur dhe ndjekjen e veprimeve të përdoruesve, por nga ana tjetër, nuk është me nxitim të hiqni mbështetjen për kokën X-Client-Data nga Chrome, i cili mund të përdoret për të identifikuar rastet e shfletuesit kur hyni në shërbimet e Google.
Kreu X-Client-Data nuk është funksionalitet i fshehur dhe sjellja e tij është në dokumentacion. Nëpërmjet X-Client-Data, Google merr të dhëna për aktivitetin e disa veçorive eksperimentale në Chrome në lidhje me faqet e tij (për shembull, gjatë një eksperimenti, Google mund të aktivizojë disa veçori testimi në Youtube nëse ato mbështeten nga shfletuesi ose përpiqet të korrelojnë problemet me funksionet eksperimentale të aktivizimit).
Titulli vetëm për kërkesat në sajtet e Google që përputhen me maskat "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" dhe "*.youtube. ", dhe u dërgua përmes HTTPS. Në modalitetin incognito, titulli nuk plotësohet, por nëse profili i vërtetuar i Google i përdoruesit ndryshon në një profil të ftuar ose kur thirret një operacion pastrimi të të dhënave, titulli nuk rivendoset dhe vazhdon të dërgohet me të njëjtën vlerë.
Kreu thuhet se nuk përmban asnjë informacion personalisht të identifikueshëm dhe përshkruan vetëm statusin e instalimit të Chrome dhe veçoritë aktive eksperimentale. Nëse telemetria e përdorimit të shfletuesit dhe raportimi i përplasjeve janë çaktivizuar në cilësime, gjenerimi i vlerës bazë të kokës X-Client-Data përdor vetëm 13 bit entropie (8000 kombinime të ndryshme), gjë që nuk mjafton për identifikim.
Duke marrë parasysh që kreu gjithashtu kodon disa cilësime dhe parametra të sistemit, në fund të fundit përmbajtja e X-Client-Data është mjaft e përshtatshme si një burim shtesë të dhënash për identifikimin indirekt të përdoruesit në një periudhë të shkurtër kohore (aftësitë eksperimentale janë aktivizuar dhe çaktivizuar gjatë koha, e cila çon në ndryshim periodik të vlerës në X-Client-Data).
Megjithatë, përveç entropisë fillestare, kur gjenerohet vlera X-Client-Data, ekziston edhe një sekuencë fillestare e kthyer nga serverët e Google dhe në varësi të vendit, adresës IP dhe kritereve të tjera që Google i konsideron të rëndësishme (për shembull, asgjë nuk e pengon ju nga kthimi i një sekuence të madhe të rastësishme , e cila do të bëhet identifikuesi i saktë).
Për më tepër, kontrollimi i përdorimit të maskave të domenit të Google gjatë dërgimit të të dhënave X-Client nuk përjashton situatat kur një sulmues mund të regjistrojë një domen si "youtube.xn--55qx5d" dhe të fillojë të mbledhë identifikues.
Burimi: opennet.ru