Kapag nag-uusap Google na pag-isahin ang mga nilalaman ng HTTP User-Agent header, developer ng Kiwi browser sa "X-Client-Data" na HTTP header na natitira sa Chrome, na posibleng Pangkalahatang Regulasyon sa Proteksyon ng Data na ipinapatupad sa European Union (). Sa panahon ng Binatikos din ang duality ng mga aksyon ng Google, na sa isang banda upang harangan ang nakatagong pagkakakilanlan at pagsubaybay sa mga aksyon ng user, ngunit sa kabilang banda, hindi nagmamadaling alisin ang suporta para sa header ng X-Client-Data mula sa Chrome, na magagamit upang matukoy ang mga instance ng browser kapag ina-access ang mga serbisyo ng Google.
Ang header ng X-Client-Data ay hindi nakatagong functionality at ang pag-uugali nito ay sa dokumentasyon. Sa pamamagitan ng X-Client-Data, tumatanggap ang Google ng data sa aktibidad ng ilang partikular na pang-eksperimentong feature sa Chrome na may kaugnayan sa mga site nito (halimbawa, sa panahon ng eksperimento, maaaring i-activate ng Google ang ilang partikular na feature ng pagsubok sa Youtube kung sinusuportahan sila ng browser o subukang iugnay ang mga problema sa activation experimental functions).
Pamagat para lang sa mga kahilingan sa mga site ng Google na tumutugma sa mga mask na β*.doubleclick.netβ, β*.googlesyndication.comβ, βwww.googleadservices.comβ, β*.google.<>" at "*.youtube.", at ipinadala sa pamamagitan ng HTTPS. Sa incognito mode, ang header ay hindi napo-populate, ngunit kung ang napatotohanan ng user sa Google profile ay nagbago sa isang guest profile o kapag ang isang data clearing operation ay tinawag, ang header ay hindi nire-reset at patuloy na ipapadala na may parehong halaga.
Ang header ay nakasaad na walang personal na nakakapagpakilalang impormasyon at inilalarawan lamang ang katayuan ng pag-install ng Chrome at mga aktibong pang-eksperimentong feature. Kung ang telemetry sa paggamit ng browser at pag-uulat ng pag-crash ay hindi pinagana sa mga setting, ang pagbuo ng base X-Client-Data header value ay gumagamit lamang ng 13 bits ng entropy (8000 iba't ibang kumbinasyon), na hindi sapat para sa pagkakakilanlan.
Dahil ang header ay nag-encode din ng ilang mga setting at parameter ng system, sa huli ang mga nilalaman ng X-Client-Data ay lubos na angkop bilang isang karagdagang mapagkukunan ng data para sa hindi direktang pagkakakilanlan ng user sa maikling panahon (ang mga pang-eksperimentong kakayahan ay pinagana at hindi pinagana sa paglipas ng panahon, na humahantong sa pana-panahong pagbabago ng halaga sa X-Client-Data).
Gayunpaman, bilang karagdagan sa paunang entropy, kapag bumubuo ng halaga ng X-Client-Data, mayroon ding seed sequence na ibinalik ng mga server ng Google at depende sa bansa, IP address at iba pang pamantayan na itinuturing ng Google na mahalaga (halimbawa, walang pumipigil sa mula sa pagbabalik ng malaking random sequence , na magiging eksaktong identifier).
Bilang karagdagan, ang pagsuri gamit ang Google domain mask kapag nagpapadala ng X-Client-Data ay hindi nagbubukod ng mga sitwasyon kung saan maaaring magrehistro ang isang attacker ng domain tulad ng "youtube.xn--55qx5d" at magsimulang mangolekta ng mga identifier.
Pinagmulan: opennet.ru