โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ส่วนหัว X-Client-Data เป็นวิธีการในการระบุผู้ใช้ Chrome

ส่วนหัว X-Client-Data เป็นวิธีการในการระบุผู้ใช้ Chrome

เมื่อพูดคุยกัน ความคิดริเริ่ม Google เพื่อรวมเนื้อหาของส่วนหัว HTTP User-Agent ซึ่งเป็นผู้พัฒนาเบราว์เซอร์ Kiwi สังเกตเห็น ไปยังส่วนหัว HTTP "X-Client-Data" ที่เหลืออยู่ใน Chrome ซึ่งอาจเป็นไปได้ ละเมิด กฎการคุ้มครองข้อมูลทั่วไปที่บังคับใช้ในสหภาพยุโรป (GDPR). ในระหว่าง การอภิปราย การกระทำที่เป็นคู่ของ Google ก็ถูกวิพากษ์วิจารณ์เช่นกันซึ่งในด้านหนึ่ง ส่งเสริม методы เพื่อบล็อกการระบุตัวตนที่ซ่อนอยู่และการติดตามการกระทำของผู้ใช้ แต่ในทางกลับกัน ก็ไม่รีบร้อนที่จะลบการสนับสนุนสำหรับส่วนหัว X-Client-Data ออกจาก Chrome ซึ่งสามารถใช้เพื่อระบุอินสแตนซ์ของเบราว์เซอร์เมื่อเข้าถึงบริการของ Google

ส่วนหัว X-Client-Data ไม่ได้ซ่อนฟังก์ชันการทำงานและลักษณะการทำงานของมันคือ อธิบายไว้ ในเอกสารประกอบ ผ่าน X-Client-Data Google ได้รับข้อมูลเกี่ยวกับกิจกรรมของคุณลักษณะทดลองบางอย่างใน Chrome ที่เชื่อมโยงกับไซต์ของตน (เช่น ในระหว่างการทดลอง Google สามารถเปิดใช้งานคุณลักษณะการทดสอบบางอย่างใน Youtube ได้ หากเบราว์เซอร์รองรับหรือพยายาม สัมพันธ์กับปัญหากับฟังก์ชันทดลองการเปิดใช้งาน)

ชื่อเรื่อง จัดแสดง สำหรับคำขอไปยังไซต์ Google ที่ตรงกับมาสก์ "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.TLD>" และ "*.youtube. " และส่งผ่าน HTTPS ในโหมดไม่ระบุตัวตน ส่วนหัวจะไม่ถูกเติม แต่หากโปรไฟล์ Google ที่ได้รับการตรวจสอบสิทธิ์ของผู้ใช้เปลี่ยนเป็นโปรไฟล์ผู้เยี่ยมชมหรือเมื่อมีการเรียกใช้การดำเนินการล้างข้อมูล ส่วนหัวจะไม่ถูกรีเซ็ตและยังคงถูกส่งต่อไปด้วยค่าเดิม

ส่วนหัว X-Client-Data เป็นวิธีการในการระบุผู้ใช้ Chrome

ส่วนหัวระบุว่าไม่มีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ และอธิบายเฉพาะสถานะการติดตั้ง Chrome และคุณลักษณะทดลองที่ใช้งานอยู่เท่านั้น หากปิดใช้งานการวัดและส่งข้อมูลทางไกลการใช้งานเบราว์เซอร์และการรายงานข้อขัดข้องในการตั้งค่า การสร้างค่าส่วนหัว X-Client-Data พื้นฐานจะใช้เอนโทรปีเพียง 13 บิต (ชุดค่าผสมที่แตกต่างกัน 8000 ชุด) ซึ่งไม่เพียงพอสำหรับการระบุตัวตน

เนื่องจากส่วนหัวยังเข้ารหัสการตั้งค่าระบบและพารามิเตอร์บางอย่างด้วย ในที่สุดเนื้อหาของ X-Client-Data ก็ค่อนข้างเหมาะสมที่จะเป็นแหล่งข้อมูลเพิ่มเติมสำหรับการระบุผู้ใช้ทางอ้อมในช่วงเวลาสั้น ๆ (ความสามารถในการทดลองถูกเปิดใช้งานและปิดใช้งานเมื่อเวลาผ่านไป ซึ่งนำไปสู่การเปลี่ยนแปลงค่าใน X-Client-Data เป็นระยะ)

อย่างไรก็ตาม นอกเหนือจากเอนโทรปีเริ่มต้นแล้ว เมื่อสร้างค่า X-Client-Data แล้ว ยังมีลำดับเริ่มต้นที่ส่งคืนโดยเซิร์ฟเวอร์ของ Google และขึ้นอยู่กับประเทศ ที่อยู่ IP และเกณฑ์อื่นๆ ที่ Google เห็นว่าสำคัญ (เช่น ไม่มีสิ่งใดป้องกันได้ คุณไม่ส่งคืนลำดับสุ่มขนาดใหญ่ ซึ่งจะกลายเป็นตัวระบุที่แน่นอน)
นอกจากนี้ การตรวจสอบโดยใช้มาสก์โดเมน Google เมื่อส่ง X-Client-Data จะไม่ยกเว้นสถานการณ์ที่ผู้โจมตีสามารถลงทะเบียนโดเมน เช่น “youtube.xn--55qx5d” และเริ่มรวบรวมตัวระบุ

ที่มา: opennet.ru

เพิ่มความคิดเห็น