Khi thảo luận Google thống nhất nội dung của tiêu đề Tác nhân người dùng HTTP, nhà phát triển trình duyệt Kiwi tới tiêu đề HTTP "X-Client-Data" còn lại trong Chrome, có khả năng Quy định chung về bảo vệ dữ liệu có hiệu lực tại Liên minh Châu Âu (). Trong lúc Tính hai mặt trong các hành động của Google cũng bị chỉ trích, một mặt để chặn nhận dạng ẩn và theo dõi hành động của người dùng, nhưng mặt khác, không vội xóa hỗ trợ cho tiêu đề X-Client-Data khỏi Chrome, tiêu đề này có thể được sử dụng để xác định các phiên bản trình duyệt khi truy cập các dịch vụ của Google.
Tiêu đề X-Client-Data không phải là chức năng ẩn và hành vi của nó là trong tài liệu. Thông qua X-Client-Data, Google nhận được dữ liệu về hoạt động của một số tính năng thử nghiệm nhất định trong Chrome liên quan đến các trang web của Chrome (ví dụ: trong quá trình thử nghiệm, Google có thể kích hoạt một số tính năng thử nghiệm nhất định trong Youtube nếu chúng được trình duyệt hỗ trợ hoặc cố gắng kích hoạt các vấn đề tương quan với các chức năng thử nghiệm kích hoạt).
Tiêu đề chỉ dành cho các yêu cầu tới các trang web của Google khớp với mặt nạ “*.doubleclick.net”, “*.googlesyndication.com”, “www.googleadservices.com”, “*.google.>" và "*.youtube. " và được gửi qua HTTPS. Ở chế độ ẩn danh, tiêu đề không được điền nhưng nếu hồ sơ Google đã được xác thực của người dùng thay đổi thành hồ sơ khách hoặc khi thao tác xóa dữ liệu được gọi thì tiêu đề sẽ không được đặt lại và tiếp tục được gửi với cùng một giá trị.
Tiêu đề được nêu rõ là không chứa thông tin nhận dạng cá nhân và chỉ mô tả trạng thái cài đặt Chrome cũng như các tính năng thử nghiệm đang hoạt động. Nếu tính năng đo từ xa và báo cáo sự cố về mức sử dụng trình duyệt bị tắt trong cài đặt thì việc tạo giá trị tiêu đề X-Client-Data cơ sở chỉ sử dụng 13 bit entropy (8000 kết hợp khác nhau), không đủ để nhận dạng.
Do tiêu đề cũng mã hóa một số cài đặt và tham số hệ thống, nên cuối cùng nội dung của X-Client-Data khá phù hợp làm nguồn dữ liệu bổ sung để nhận dạng người dùng gián tiếp trong một khoảng thời gian ngắn (khả năng thử nghiệm được bật và tắt theo thời gian, dẫn đến thay đổi giá trị định kỳ trong X-Client-Data).
Tuy nhiên, ngoài entropy ban đầu, khi tạo giá trị X-Client-Data, còn có một chuỗi hạt giống được máy chủ Google trả về và tùy thuộc vào quốc gia, địa chỉ IP và các tiêu chí khác mà Google cho là quan trọng (ví dụ: không có gì ngăn cản bạn trả về một chuỗi ngẫu nhiên lớn, chuỗi này sẽ trở thành mã định danh chính xác).
Ngoài ra, việc kiểm tra bằng cách sử dụng mặt nạ miền của Google khi gửi X-Client-Data không loại trừ các trường hợp kẻ tấn công có thể đăng ký miền như “youtube.xn--55qx5d” và bắt đầu thu thập thông tin nhận dạng.
Nguồn: opennet.ru