Під час обговорення Google з уніфікації вмісту HTTP-заголовка User-Agent, розробник браузера Kiwi на HTTP-заголовок «X-Client-Data», що залишається в Chrome, який потенційно чинний у Євросоюзі загальний регламент із захисту даних (). В ході також піддалася критиці двоїстість дій компанії Google, яка з одного боку для блокування прихованої ідентифікації та відстеження дій користувачів, але з іншого боку не поспішає видаляти із Chrome підтримку заголовка X-Client-Data, який може застосовуватися для ідентифікації екземплярів браузера при зверненні до сервісів Google.
Заголовок X-Client-Data не є прихованою функціональністю та її поведінка у документації. Через X-Client-Data компанія Google отримує дані про активність тих чи інших експериментальних можливостей у Chrome у прив'язці до своїх сайтів (наприклад, під час експерименту Google може активувати в Youtube певні тестові можливості, якщо вони підтримуються браузером або спробувати зіставити проблеми з активацією, що виникають). експериментальних функцій).
Заголовок тільки для запитів до сайтів Google, які відповідають маскам "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.>» та «*.youtube. », і що відправляються через HTTPS. У режимі інкогніто заголовок не заповнюється, але в разі зміни автентифікованого профілю користувача в Google на гостьовий профіль або під час операції очищення даних заголовок не скидається і продовжує відправлятися з колишнім значенням.
Заявлено, що заголовок не містить інформації, що персонально ідентифікується, а тільки описує стан установки Chrome і активні експериментальні можливості. Якщо в налаштуваннях відключено надсилання телеметрії про використання браузера та генерацію звітів про крахи, при генерації базового значення заголовка X-Client-Data використовується лише 13 біт ентропії (8000 різних комбінацій), що недостатньо для ідентифікації.
З урахуванням того, що в заголовку також кодуються деякі налаштування та параметри системи, в кінцевому рахунку, вміст X-Client-Data цілком підходить як додаткове джерело даних для непрямої ідентифікації користувача в невеликий період часу (експериментальні можливості згодом включаються та вимикаються, що призводить) до періодичної зміни значення X-Client-Data).
Тим не менш, крім початкової ентропії при формуванні значення X-Client-Data також використовується seed-послідовність, що повертається серверами Google і залежить від країни, IP-адреси та інших критеріїв, які Google вважатиме важливими (наприклад, ніщо не заважає повернути більшу випадкову послідовність , яка стане точним ідентифікатором).
Крім того, перевірка по масках доменів Google при відправці X-Client-Data не виключає ситуацій, коли зловмисник може зареєструвати домен виду youtube.xn-55qx5d і почати збирати ідентифікатори.
Джерело: opennet.ru