Nalika ngabahas Google pikeun ngahijikeun eusi header HTTP User-Agent, pamekar browser Kiwi ka "X-Client-Data" lulugu HTTP sésana dina Chrome, nu berpotensi Peraturan Perlindungan Data Umum dikuatkeun di Uni Éropa (). Salila Dualitas lampah Google ogé dikritik, anu dina hiji sisi pikeun meungpeuk idéntifikasi disumputkeun jeung nyukcruk lampah pamaké, tapi di sisi séjén, éta teu puguh miceun rojongan pikeun lulugu X-Client-Data tina Chrome, nu bisa dipaké pikeun ngaidentipikasi instansi browser nalika ngakses jasa Google.
The X-klien-Data lulugu henteu fungsionalitas disumputkeun na kabiasaan na dina dokuméntasi. Ngaliwatan X-Client-Data, Google nampi data ngeunaan kagiatan fitur ékspérimén tangtu dina Chrome anu aya hubunganana sareng situs-situsna (contona, nalika ékspérimén, Google tiasa ngaktipkeun fitur uji tangtu dina Youtube upami dirojong ku browser atanapi nyobian korelasi masalah sareng fungsi ékspérimén aktivasina).
lulugu ngan pikeun pamundut ka situs Google anu cocog sareng masker "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" jeung "*.youtube. ", sarta dikirim via HTTPS. Dina modeu incognito, lulugu henteu dieusi, tapi upami profil Google anu dioténtikasi pangguna robih kana profil tamu atanapi nalika operasi ngabersihan data disebat, lulugu henteu direset sareng terus dikirim kalayan nilai anu sami.
Lulugu dinyatakeun henteu ngandung inpormasi anu tiasa diidentipikasi sacara pribadi sareng ngan ukur ngajelaskeun status pamasangan Chrome sareng fitur ékspérimén aktip. Upami telemétri pamakean browser sareng laporan kacilakaan ditumpurkeun dina setélan, ngahasilkeun nilai header X-Client-Data dasar ngan nganggo 13 bit éntropi (8000 kombinasi anu béda), anu henteu cekap pikeun idéntifikasi.
Nunjukkeun yén lulugu ogé ngodekeun sababaraha setélan sistem sareng parameter, pamustunganana eusi X-Client-Data cukup cocog salaku sumber data tambahan pikeun idéntifikasi pangguna henteu langsung dina waktos anu pondok (kamampuan ékspérimén diaktipkeun sareng ditumpurkeun kana waktosna, nu ngabalukarkeun parobahan périodik tina nilai dina X-Client-Data).
Nanging, salian éntropi awal, nalika ngahasilkeun nilai X-Client-Data, aya ogé sekuen siki anu dipulangkeun ku server Google sareng gumantung kana nagara, alamat IP sareng kriteria sanésna anu dianggap penting ku Google (contona, teu aya anu nyegah. Anjeun ti balik runtuyan acak badag, nu bakal jadi identifier pasti).
Salaku tambahan, mariksa nganggo masker domain Google nalika ngirim X-Client-Data henteu ngaluarkeun kaayaan dimana panyerang tiasa ngadaptar domain sapertos "youtube.xn--55qx5d" sareng mimitian ngumpulkeun idéntifikasi.
sumber: opennet.ru