Nalika ngabahas
The X-klien-Data lulugu henteu fungsionalitas disumputkeun na kabiasaan na
lulugu
Lulugu dinyatakeun henteu ngandung inpormasi anu tiasa diidentipikasi sacara pribadi sareng ngan ukur ngajelaskeun status pamasangan Chrome sareng fitur ékspérimén aktip. Upami telemétri pamakean browser sareng laporan kacilakaan ditumpurkeun dina setélan, ngahasilkeun nilai header X-Client-Data dasar ngan nganggo 13 bit éntropi (8000 kombinasi anu béda), anu henteu cekap pikeun idéntifikasi.
Nunjukkeun yén lulugu ogé ngodekeun sababaraha setélan sistem sareng parameter, pamustunganana eusi X-Client-Data cukup cocog salaku sumber data tambahan pikeun idéntifikasi pangguna henteu langsung dina waktos anu pondok (kamampuan ékspérimén diaktipkeun sareng ditumpurkeun kana waktosna, nu ngabalukarkeun parobahan périodik tina nilai dina X-Client-Data).
Nanging, salian éntropi awal, nalika ngahasilkeun nilai X-Client-Data, aya ogé sekuen siki anu dipulangkeun ku server Google sareng gumantung kana nagara, alamat IP sareng kriteria sanésna anu dianggap penting ku Google (contona, teu aya anu nyegah. Anjeun ti balik runtuyan acak badag, nu bakal jadi identifier pasti).
Salaku tambahan, mariksa nganggo masker domain Google nalika ngirim X-Client-Data henteu ngaluarkeun kaayaan dimana panyerang tiasa ngadaptar domain sapertos "youtube.xn--55qx5d" sareng mimitian ngumpulkeun idéntifikasi.
sumber: opennet.ru