När man diskuterar Google förenar innehållet i HTTP User-Agent-huvudet, utvecklare av Kiwi-webbläsaren till HTTP-huvudet "X-Client-Data" som finns kvar i Chrome, vilket eventuellt Allmän dataskyddsförordning i kraft i Europeiska unionen (). Under Dualiteten i Googles handlingar kritiserades också, vilket å ena sidan för att blockera dold identifiering och spåra användaråtgärder, men å andra sidan är det ingen brådska att ta bort stödet för X-Client-Data-huvudet från Chrome, som kan användas för att identifiera webbläsarinstanser vid åtkomst till Googles tjänster.
X-Client-Data-huvudet är inte dold funktionalitet och dess beteende är det i dokumentationen. Genom X-Client-Data tar Google emot data om aktiviteten hos vissa experimentfunktioner i Chrome i samband med dess webbplatser (till exempel under ett experiment kan Google aktivera vissa testfunktioner på Youtube om de stöds av webbläsaren eller försöker korrelerar problem med aktiveringsexperimentella funktioner).
Titel endast för förfrågningar till Googles webbplatser som matchar maskerna "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>" och "*.youtube. ", och skickas via HTTPS. I inkognitoläge fylls inte rubriken i, men om användarens autentiserade Google-profil ändras till en gästprofil eller när en datarensningsåtgärd anropas, återställs inte rubriken och fortsätter att skickas med samma värde.
Rubriken anges inte innehålla någon personligt identifierbar information och beskriver endast Chromes installationsstatus och aktiva experimentfunktioner. Om telemetri för webbläsaranvändning och kraschrapportering är inaktiverade i inställningarna, använder generering av bashuvudvärdet för X-Client-Data endast 13 bitar av entropi (8000 olika kombinationer), vilket inte räcker för identifiering.
Med tanke på att rubriken också kodar vissa systeminställningar och parametrar, är innehållet i X-Client-Data i slutändan ganska lämpligt som en extra datakälla för indirekt användaridentifiering på kort tid (experimentella funktioner aktiveras och inaktiveras över tid, vilket leder till periodisk värdeförändring i X-Client-Data).
Men förutom den initiala entropin, när X-Client-Data-värdet genereras, finns det också en frösekvens som returneras av Googles servrar och beroende på land, IP-adress och andra kriterier som Google anser vara viktiga (till exempel inget som hindrar från att returnera en stor slumpmässig sekvens , som blir den exakta identifieraren).
Dessutom utesluter inte en kontroll med Googles domänmasker när du skickar X-Client-Data situationer där en angripare kan registrera en domän som "youtube.xn--55qx5d" och börja samla in identifierare.
Källa: opennet.ru