Muhokama qilganda Google Kiwi brauzerini ishlab chiquvchi HTTP User-Agent sarlavhasi mazmunini birlashtirish uchun Chrome brauzerida qolgan "X-Client-Data" HTTP sarlavhasiga Evropa Ittifoqida amaldagi ma'lumotlarni himoya qilish bo'yicha umumiy reglament (). Davomida Google harakatlarining ikki tomonlamaligi ham tanqid qilindi, bu bir tomondan yashirin identifikatsiyani blokirovka qilish va foydalanuvchi harakatlarini kuzatish, biroq boshqa tomondan, Google xizmatlariga kirishda brauzer misollarini aniqlash uchun ishlatilishi mumkin bo'lgan Chrome-dan X-Client-Data sarlavhasini qo'llab-quvvatlashni olib tashlashga shoshilmang.
X-Client-Data sarlavhasi yashirin funksionallik emas va uning xatti-harakati hujjatlarda. X-Client-Data orqali Google oʻz saytlari bilan bogʻliq boʻlgan Chrome brauzeridagi baʼzi eksperimental funksiyalar faoliyati toʻgʻrisidagi maʼlumotlarni oladi (masalan, tajriba davomida Google Youtube-da baʼzi sinov funksiyalarini brauzer tomonidan qoʻllab-quvvatlansa yoki sinab koʻrsa, faollashtirishi mumkin. muammolarni faollashtirish eksperimental funktsiyalari bilan bog'lash).
header faqat “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google” maskalariga mos keladigan Google saytlariga so‘rovlar uchun.>" va "*.youtube. ", va HTTPS orqali yuborilgan. Inkognito rejimida sarlavha to'ldirilmaydi, lekin foydalanuvchining autentifikatsiya qilingan Google profili mehmon profiliga o'zgartirilsa yoki ma'lumotlarni tozalash operatsiyasi chaqirilganda, sarlavha qayta o'rnatilmaydi va bir xil qiymat bilan yuborilishi davom etadi.
Sarlavhada shaxsni identifikatsiyalash mumkin bo'lgan ma'lumotlar yo'qligi va faqat Chrome o'rnatish holati va faol eksperimental funksiyalar tasvirlangani aytiladi. Brauzerdan foydalanish telemetriyasi va ishdan chiqish hisoboti sozlamalarda o‘chirib qo‘yilgan bo‘lsa, asosiy X-Client-Data sarlavhasi qiymatini yaratishda faqat 13 bit entropiya (8000 xil kombinatsiya) ishlatiladi, bu identifikatsiya qilish uchun etarli emas.
Sarlavha ba'zi tizim sozlamalari va parametrlarini ham kodlashini hisobga olsak, natijada X-Client-Data tarkibi qisqa vaqt ichida bilvosita foydalanuvchi identifikatsiyasi uchun qo'shimcha ma'lumotlar manbai sifatida juda mos keladi (tajriba qobiliyatlari vaqt o'tishi bilan yoqiladi va o'chiriladi, bu X-Client-Data-da qiymatning davriy o'zgarishiga olib keladi).
Biroq, X-Client-Data qiymatini yaratishda boshlang'ich entropiyaga qo'shimcha ravishda, Google serverlari tomonidan qaytariladigan va mamlakatga, IP-manzilga va Google muhim deb hisoblagan boshqa mezonlarga qarab (masalan, hech narsa to'sqinlik qilmaydi) ketma-ketligi ham mavjud. aniq identifikatorga aylanadigan katta tasodifiy ketma-ketlikni qaytarishingiz mumkin).
Bundan tashqari, X-Client-Ma'lumotlarini yuborishda Google domen maskalaridan foydalanishni tekshirish tajovuzkor "youtube.xn--55qx5d" kabi domenni ro'yxatdan o'tkazishi va identifikatorlarni yig'ishni boshlashi mumkin bo'lgan holatlarni istisno qilmaydi.
Manba: opennet.ru