При обсуждении
Заголовок X-Client-Data не является скрытой функциональностью и его поведение
Başlık
Заявлено, что заголовок не содержит персонально идентифицируемой информации, а только описывает состояние установки Chrome и активные экспериментальные возможности. Если в настройках отключена отправка телеметрии об использовании браузера и генерация отчётов о крахах, при генерации базового значения заголовка X-Client-Data используется всего 13 бит энтропии (8000 разных комбинаций), что недостаточно для идентификации.
С учётом того, что в заголовке также кодируются некоторые настройки и параметры системы, в конечном счёте, содержимое X-Client-Data вполне подходит как дополнительный источник данных для косвенной идентификации пользователя в небольшой период времени (экспериментальные возможности со временем включаются и отключаются, что приводит к периодической смене значения в X-Client-Data).
Тем не менее, помимо начальной энтропии при формировании значения X-Client-Data также используется seed-последовательность, возвращаемая серверами Google и зависящая от страны, IP-адреса и других критериев, которые Google посчитает важными (например, ничто не мешает вернуть большую случайную последовательность, которая станет точным идентификатором).
Кроме того, проверка по маскам доменов Google при отправке X-Client-Data не исключает ситуаций, когда злоумышленник может зарегистрировать домен вида «youtube.xn--55qx5d» и начать собирать идентификаторы.
Kaynak: opennet.ru