О нас      Контакты      Оплата      Доставка      Кредит      Покупаем БУ      Техподдержка      Акции     
(499) 126-15-12
ICQ445899221   ICQ334778123
КЦ “Савеловский”
Павильон А5
Как добраться

Товаров: 0
Сумма: 0
Курс: $1=62.00руб.
  ВЕРНОСТЬ ТРАДИЦИЯМ

ТКЦ «САВЕЛОВСКИЙ»
   

Заголовок X-Client-Data, как метод идентификации пользователей Chrome

Заголовок X-Client-Data, как метод идентификации пользователей Chrome

В ходе дискуссии также подверглась критике двойственность действий компании Google, которая с одной стороны продвигает методы для блокирования скрытой идентификации и отслеживания действий пользователей, но с другой стороны не спешит удалять из Chrome поддержку заголовка X-Client-Data, который может применяться для идентификации экземпляров браузера при обращении к сервисам Google. При обсуждении инициативы Google по унификации содержимого HTTP-заголовка User-Agent, разработчик браузера Kiwi обратил внимание на остающийся в Chrome HTTP-заголовок «X-Client-Data», который потенциально нарушает действующий в Евросоюзе общий регламент по защите данных (GDPR).

Через X-Client-Data компания Google получает данные об активности тех или иных экспериментальный возможностей в Chrome в привязке к своим сайтам (например, в ходе эксперимента Google может активировать в Youtube определённые тестовые возможности, если они поддерживаются браузером или попытаться сопоставить возникающие проблемы с активацией экспериментальных функций). Заголовок X-Client-Data не является скрытой функциональностью и его поведение описано в документации.

В режиме инкогнито заголовок не заполняется, но в случае смены аутентифицированного профиля пользователя в Google на гостевой профиль или при вызове операции очистки данных заголовок не сбрасывается и продолжает отправляться с прежним значением. Заголовок выставляется только для запросов к сайтам Google, соответствующих маскам »*.doubleclick.net»,»*.googlesyndication.com», «www.googleadservices.com»,»*.google.‹TLD›» и »*.youtube.‹TLD›», и отправляемых через HTTPS.

Если в настройках отключена отправка телеметрии об использовании браузера и генерация отчётов о крахах, при генерации базового значения заголовка X-Client-Data используется всего 13 бит энтропии (8000 разных комбинаций), что недостаточно для идентификации. Заявлено, что заголовок не содержит персонально идентифицируемой информации, а только описывает состояние установки Chrome и активные экспериментальные возможности.

С учётом того, что в заголовке также кодируются некоторые настройки и параметры системы, в конечном счёте, содержимое X-Client-Data вполне подходит как дополнительный источник данных для косвенной идентификации пользователя в небольшой период времени (экспериментальные возможности со временем включаются и отключаются, что приводит к периодической смене значения в X-Client-Data).

Кроме того, проверка по маскам доменов Google при отправке X-Client-Data не исключает ситуаций, когда злоумышленник может зарегистрировать домен вида «youtube.xn--55qx5d» и начать собирать идентификаторы. Тем не менее, помимо начальной энтропии при формировании значения X-Client-Data также используется seed-последовательность, возвращаемая серверами Google и зависящая от страны, IP-адреса и других критериев, которые Google посчитает важными (например, ничто не мешает вернуть большую случайную последовательность, которая станет точным идентификатором). num=52321 Источник: http://www.opennet.ru/opennews/art.shtml?

Через X-Client-Data компания Google получает данные об активности тех или иных экспериментальный возможностей в Chrome в привязке к своим сайтам (например, в ходе эксперимента Google может активировать в Youtube определённые тестовые возможности, если они поддерживаются браузером или попытаться сопоставить возникающие проблемы с активацией экспериментальных функций). Заголовок X-Client-Data не является скрытой функциональностью и его поведение описано в документации.

В ходе дискуссии также подверглась критике двойственность действий компании Google, которая с одной стороны продвигает методы для блокирования скрытой идентификации и отслеживания действий пользователей, но с другой стороны не спешит удалять из Chrome поддержку заголовка X-Client-Data, который может применяться для идентификации экземпляров браузера при обращении к сервисам Google. При обсуждении инициативы Google по унификации содержимого HTTP-заголовка User-Agent, разработчик браузера Kiwi обратил внимание на остающийся в Chrome HTTP-заголовок «X-Client-Data», который потенциально нарушает действующий в Евросоюзе общий регламент по защите данных (GDPR).

В режиме инкогнито заголовок не заполняется, но в случае смены аутентифицированного профиля пользователя в Google на гостевой профиль или при вызове операции очистки данных заголовок не сбрасывается и продолжает отправляться с прежним значением. Заголовок выставляется только для запросов к сайтам Google, соответствующих маскам »*.doubleclick.net»,»*.googlesyndication.com», «www.googleadservices.com»,»*.google.‹TLD›» и »*.youtube.‹TLD›», и отправляемых через HTTPS.

С учётом того, что в заголовке также кодируются некоторые настройки и параметры системы, в конечном счёте, содержимое X-Client-Data вполне подходит как дополнительный источник данных для косвенной идентификации пользователя в небольшой период времени (экспериментальные возможности со временем включаются и отключаются, что приводит к периодической смене значения в X-Client-Data).

Если в настройках отключена отправка телеметрии об использовании браузера и генерация отчётов о крахах, при генерации базового значения заголовка X-Client-Data используется всего 13 бит энтропии (8000 разных комбинаций), что недостаточно для идентификации. Заявлено, что заголовок не содержит персонально идентифицируемой информации, а только описывает состояние установки Chrome и активные экспериментальные возможности.

Кроме того, проверка по маскам доменов Google при отправке X-Client-Data не исключает ситуаций, когда злоумышленник может зарегистрировать домен вида «youtube.xn--55qx5d» и начать собирать идентификаторы. Тем не менее, помимо начальной энтропии при формировании значения X-Client-Data также используется seed-последовательность, возвращаемая серверами Google и зависящая от страны, IP-адреса и других критериев, которые Google посчитает важными (например, ничто не мешает вернуть большую случайную последовательность, которая станет точным идентификатором). num=52321 Источник: http://www.opennet.ru/opennews/art.shtml?


Дата публикации: 06.02.2020


Ещё новости


  11.02.2020  Смертность от коронавируса в эпицентре болезни превысила 100 чел/сутки

человек (в Ухане — 18,454 тыс.), смертельный исход заболевания зафиксирован в 974 случаях (в Ухане — 748 случаев). Всего с декабря 2019 года в Хубэе в результате новой пневмонии заболели по состоянию...

  31.01.2020  Samsung назвала смартфоны, которые помогут ей в 2020 году

По оценкам компании, в 2020 году она может продать 5–6 миллионов складных смартфонов. В рамках отчета Samsung изложила свои планы по выпуску большого количества смартфонов со сгибающимися экранами, чт...

  14.02.2020  В Японии утвержден проект крупнейшего нейтринного телескопа

Это не делает его строительство простым делом — одно только получение сверхчистой воды, в которой практически нет растворенных радиоактивных веществ, является очень непростой задачей, особенно — в так...

  12.02.2020  Официальные характеристики, сроки выхода и стоимость Samsung Galaxy S20 Ultra

Аппарат крупнее своих собратьев, и получил иную установку тыловых камер. Samsung Galaxy S20 Ultra — топовый в новом выпуске флагманов Samsung, более премиальный, чем даже S20+. Но обо всем по порядку....

  24.02.2020  Будущие игры 4A Games тоже будут поддерживать трассировку лучей

Судя по всему, эксперимент студии 4A Games был признан успешным, поскольку в беседе с журналистами Digital Foundry (подразделение Eurogamer) технический руководитель компании Олесь Шишковцов заявил о ...



Все новости
Достаем Ноутбуки...
Ждем Ваши заказы...
Оформление кредита
Наши программисты потрудилсь сделать так, что бы вы могли оформить кредит не вставая из за стола
   
© 2003—2020 Интернет-магазин ноутбуков a5savel.ru. Все права защищены.
Нелицензированное использование материалов данного сайта запрещено.
(499) 126-15-12 |