讨论时 谷歌统一HTTP User-Agent标头内容,Kiwi浏览器开发商 到 Chrome 中剩余的“X-Client-Data”HTTP 标头,这可能 欧盟现行的《通用数据保护条例》()。 期间 谷歌行为的双重性也受到批评,一方面 阻止隐藏识别和跟踪用户操作,但另一方面,它并不急于从 Chrome 中删除对 X-Client-Data 标头的支持,该标头可用于在访问 Google 服务时识别浏览器实例。
X-Client-Data 标头不是隐藏功能,其行为是 在文档中。 通过 X-Client-Data,Google 接收 Chrome 中与其网站相关的某些实验性功能的活动数据(例如,在实验过程中,Google 可以激活 Youtube 中的某些测试功能(如果浏览器支持这些功能)或尝试将问题与激活实验函数关联起来)。
产品名称 仅适用于对与掩码“*.doubleclick.net”、“*.googlesyndicate.com”、“www.googleadservices.com”、“*.google”匹配的 Google 网站的请求。>”和“*.youtube。 ”,并通过 HTTPS 发送。 在隐身模式下,不会填充标头,但如果用户经过身份验证的 Google 个人资料更改为访客配置文件或调用数据清除操作时,标头不会重置并继续以相同的值发送。
该标头据称不包含任何个人身份信息,仅描述 Chrome 安装状态和活动实验功能。 如果在设置中禁用浏览器使用情况遥测和崩溃报告,则生成基本 X-Client-Data 标头值仅使用 13 位熵(8000 种不同的组合),这不足以进行识别。
鉴于标头还编码了一些系统设置和参数,最终 X-Client-Data 的内容非常适合作为短时间内间接用户识别的附加数据源(随着时间的推移启用和禁用实验功能,这会导致 X-Client-Data 中的值周期性变化)。
然而,除了初始熵之外,在生成 X-Client-Data 值时,还有 Google 服务器返回的种子序列,并且取决于国家、IP 地址和 Google 认为重要的其他标准(例如,没有什么可以阻止)您返回一个大的随机序列,它将成为确切的标识符)。
此外,在发送 X-Client-Data 时检查使用 Google 域名掩码并不排除攻击者可以注册“youtube.xn--55qx5d”等域名并开始收集标识符的情况。
来源: opennet.ru