Заголовок X-Client-Data, как метод идентификации пользователей Chrome

Четверг, 6 февраля 2020 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

При обсуждении инициативы Google по унификации содержимого HTTP-заголовка User-Agent, разработчик браузера Kiwi обратил внимание на остающийся в Chrome HTTP-заголовок «X-Client-Data», который потенциально нарушает действующий в Евросоюзе общий регламент по защите данных (GDPR). В ходе дискуссии также подверглась критике двойственность действий компании Google, которая с одной стороны продвигает методы для блокирования скрытой идентификации и отслеживания действий пользователей, но с другой стороны не спешит удалять из Chrome поддержку заголовка X-Client-Data, который может применяться для идентификации экземпляров браузера при обращении к сервисам Google.

Заголовок X-Client-Data не является скрытой функциональностью и его поведение описано в документации. Через X-Client-Data компания Google получает данные об активности тех или иных экспериментальный возможностей в Chrome в привязке к своим сайтам (например, в ходе эксперимента Google может активировать в Youtube определённые тестовые возможности, если они поддерживаются браузером или попытаться сопоставить возникающие проблемы с активацией экспериментальных функций).

Заголовок выставляется только для запросов к сайтам Google, соответствующих маскам »*.doubleclick.net»,»*.googlesyndication.com», «www.googleadservices.com»,»*.google.‹TLD›» и »*.youtube.‹TLD›», и отправляемых через HTTPS. В режиме инкогнито заголовок не заполняется, но в случае смены аутентифицированного профиля пользователя в Google на гостевой профиль или при вызове операции очистки данных заголовок не сбрасывается и продолжает отправляться с прежним значением.



Заявлено, что заголовок не содержит персонально идентифицируемой информации, а только описывает состояние установки Chrome и активные экспериментальные возможности. Если в настройках отключена отправка телеметрии об использовании браузера и генерация отчётов о крахах, при генерации базового значения заголовка X-Client-Data используется всего 13 бит энтропии (8000 разных комбинаций), что недостаточно для идентификации.

С учётом того, что в заголовке также кодируются некоторые настройки и параметры системы, в конечном счёте, содержимое X-Client-Data вполне подходит как дополнительный источник данных для косвенной идентификации пользователя в небольшой период времени (экспериментальные возможности со временем включаются и отключаются, что приводит к периодической смене значения в X-Client-Data).

Тем не менее, помимо начальной энтропии при формировании значения X-Client-Data также используется seed-последовательность, возвращаемая серверами Google и зависящая от страны, IP-адреса и других критериев, которые Google посчитает важными (например, ничто не мешает вернуть большую случайную последовательность, которая станет точным идентификатором). Кроме того, проверка по маскам доменов Google при отправке X-Client-Data не исключает ситуаций, когда злоумышленник может зарегистрировать домен вида «youtube.xn--55qx5d» и начать собирать идентификаторы.

Источник: http://www.opennet.ru/opennews/art.shtml? num=52321

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 492
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003