Када се расправља Гоогле да обједини садржај ХТТП заглавља корисничког агента, програмера Киви претраживача у ХТТП заглавље „Кс-Цлиент-Дата“ које остаје у Цхроме-у, што је потенцијално Општа уредба о заштити података на снази у Европској унији (). У току Критикована је и дуалност Гуглове акције, што с једне стране да блокира скривену идентификацију и праћење радњи корисника, али, с друге стране, не жури се уклонити подршку за заглавље Кс-Цлиент-Дата из Цхроме-а, које се може користити за идентификацију инстанци претраживача приликом приступа Гоогле услугама.
Заглавље Кс-Цлиент-Дата није скривена функционалност и његово понашање јесте у документацији. Преко Кс-Цлиент-Дата, Гоогле прима податке о активностима одређених експерименталних функција у Цхроме-у у вези са својим сајтовима (на пример, током експеримента, Гоогле може да активира одређене тестне функције на Иоутубе-у ако их подржава прегледач или покуша да повезују проблеме са активационим експерименталним функцијама).
Наслов само за захтеве ка Гоогле сајтовима који одговарају маскама „*.доублецлицк.нет“, „*.гооглесиндицатион.цом“, „ввв.гооглеадсервицес.цом“, „*.гоогле.>" и "*.иоутубе. “, и послато преко ХТТПС-а. У режиму без архивирања, заглавље се не попуњава, али ако се Гоогле профил са аутентификацијом корисника промени у профил госта или када се позове операција брисања података, заглавље се не ресетује и наставља да се шаље са истом вредношћу.
Наведено је да заглавље не садржи личне информације и само описује статус инсталације Цхроме-а и активне експерименталне функције. Ако су телеметрија коришћења претраживача и извештавање о паду онемогућени у подешавањима, генерисање основне вредности заглавља Кс-Цлиент-Дата користи само 13 бита ентропије (8000 различитих комбинација), што није довољно за идентификацију.
С обзиром на то да заглавље кодира и нека системска подешавања и параметре, на крају крајева, садржај Кс-Цлиент-Дата је сасвим погодан као додатни извор података за индиректну идентификацију корисника у кратком временском периоду (експерименталне могућности се временом омогућавају и онемогућавају, што доводи до периодичне промене вредности у Кс-Цлиент-Дата).
Међутим, поред почетне ентропије, приликом генерисања вредности Кс-Цлиент-Дата, постоји и почетни низ који враћају Гоогле сервери и у зависности од земље, ИП адресе и других критеријума које Гоогле сматра важним (нпр. ништа не спречава од враћања велике насумичне секвенце, која ће постати тачан идентификатор).
Поред тога, провера коришћења Гоогле маски домена приликом слања Кс-Цлиент-Дата не искључује ситуације у којима нападач може да региструје домен као што је „иоутубе.кн--55кк5д“ и почне да прикупља идентификаторе.
Извор: опеннет.ру