討論時 Google統一HTTP User-Agent標頭內容,Kiwi瀏覽器開發商 到 Chrome 中剩餘的“X-Client-Data”HTTP 標頭,這可能 歐盟現行的《一般資料保護規範》()。 期間 谷歌行為的雙重性也受到批評,一方面 阻止隱藏識別和追蹤使用者操作,但另一方面,它並不急於從 Chrome 中刪除對 X-Client-Data 標頭的支持,該標頭可用於在訪問 Google 服務時識別瀏覽器實例。
X-Client-Data 標頭不是隱藏功能,其行為是 在文檔中。 透過X-Client-Data,Google 接收Chrome 中與其網站相關的某些實驗性功能的活動資料(例如,在實驗過程中,Google 可以啟動Youtube 中的某些測試功能(如果瀏覽器支援這些功能)或嘗試將問題與激活實驗函數關聯起來)。
標題 僅適用於與遮罩「*.doubleclick.net」、「*.googlesyndicate.com」、「www.googleadservices.com」、「*.google」相符的 Google 網站的請求。>」和「*.youtube。 ”,並透過 HTTPS 發送。 在隱身模式下,不會填入標頭,但如果使用者經過驗證的 Google 個人資料變更為訪客設定檔或呼叫資料清除操作時,標頭不會重設並繼續以相同的值傳送。
該標頭據稱不包含任何個人識別訊息,僅描述 Chrome 安裝狀態和活動實驗功能。 如果在設定中停用瀏覽器使用情況遙測和崩潰報告,則產生基本 X-Client-Data 標頭值僅使用 13 位元熵(8000 種不同的組合),這不足以進行識別。
鑑於標頭也編碼了一些系統設定和參數,最終 X-Client-Data 的內容非常適合作為短時間內間接使用者識別的附加資料來源(隨著時間的推移啟用和停用實驗功能,這會導致X- Client-Data 中的值週期性變化)。
然而,除了初始熵之外,在產生 X-Client-Data 值時,還有 Google 伺服器傳回的種子序列,並且取決於國家、IP 位址和 Google 認為重要的其他標準(例如,沒有什麼可以阻止)您傳回一個大的隨機序列,它將成為確切的標識符)。
此外,在發送 X-Client-Data 時檢查使用 Google 網域遮罩並不排除攻擊者可以註冊「youtube.xn--55qx5d」等網域名稱並開始收集識別碼的情況。
來源: opennet.ru