Co to jest nagłówek: Wariacje X-Chrome?

Question

Szukałem na żądań HTTP wysyłanych przez chromu w Fiddler i zauważyłem następujący nagłówek HTTP, który mnie zagadką:

X-Chrome-Variations: CNa1yQEIjrbJAQiYtskBCKK2yQEIp7bJAQiptskBCLmDygE= 

To base64 zakodowane 35 bajt array:

8,214,181,201,1, 
8,142,182,201,1, 
8,152,182,201,1, 
8,162,182,201,1, 
8,167,182,201,1, 
8,169,182,201,1, 
8,185,131,202,1 

I Widzieliśmy kilka przykładów tego numeru w Internecie.

Czy ktoś może mi wyjaśnić, co to jest i dlaczego chrom go wysyła (i czy można go użyć do identyfikacji/śledzenia mnie)?

Answer 1

Programiści Google Chrome testują funkcje eksperymentalne, włączając funkcję dla niewielkiego losowego wyboru instalacji Chrome i obserwując działanie tej funkcji. Typowym terminem jest prób terenowych. Gdy przeglądarka Google Chrome jest uruchamiana po raz pierwszy, generuje liczbę losową z zakresu od 1 do 8192, a później wykorzystuje ją do określenia, czy należy wziąć udział w konkretnej próbie w terenie.

Podsumowanie zawiera dokument "Google Chrome and Privacy" (PDF, październik 2012, aktualny w Chrome 22.0.1229.32).

Aby pomóc w opracowaniu funkcji, które użytkownicy faktycznie uznają za przydatne, część użytkowników może rzucić okiem na nową funkcjonalność, zanim zostanie udostępniona światu. Próby w terenie, które są obecnie aktywne w Twojej instalacji Chrome, będą uwzględniane we wszystkich żądaniach wysyłanych na serwery Google, aby umożliwić Google filtrowanie dzienników tylko tych wygenerowanych przez daną odmianę Chrome. Ten nagłówek Chrome-Variations nie zawiera żadnych informacji umożliwiających identyfikację użytkownika i ściśle określa stan instalacji samego Chrome.

Warianty aktywne dla danej instalacji są określone przez liczbę początkową od 1 do 8192 (13 bitów entropii), która jest losowo wybierana przy pierwszym uruchomieniu. Jeśli chcesz zresetować nasienie odmian, uruchom Chrome z flagą wiersza poleceń "--reset-variation-state".

Google Chrome wysyła informację o badania terenowe, które są aktualnie aktywne do wszystkich dziedzin postaci *.google.<TLD> (gdzie .<TLD> jest domeną najwyższego poziomu, takich jak .com, .org, .pl, .cn, .biz i tak dalej). Większość, ale nie wszystkie z tych domen są własnością Google. Identyfikatory testów w terenie są przechowywane w pliku protocol buffer, kodowanym base64 i wysyłane w nagłówku X-Chrome-Variations. Jeśli wybrałeś wysyłanie statystyk użytkowania i raportów o awariach do Google (pole wyboru dostępne pod adresem chrome://​chrome/​settings/​search#privacy), wysyłany jest również nagłówek X-Chrome-UMA-Enabled: 1. Nagłówki nie są wysyłane w trybie incognito.

Począwszy od revision 156914 (zawartej w Chrome 23 i nowszych wersjach zgodnie z release table), lista prób terenowych jest wyświetlana pod tytułem Wariacje na stronie about:version.

Właściwy kod źródłowy znajduje się w pliku chromium/​src/​chrome/​browser/​renderer_host/​chrome_resource_dispatcher_host_delegate.cc. Nagłówki są wysyłane w metodzie ChromeResourceDispatcherHostDelegate::​AppendChromeMetricsHeaders. Wartość X-Chrome-Variations została zbudowana w metodzie ChromeResourceDispatcherHostDelegate::​UpdateVariationIDsHeaderValue. Próby terenowe są zdefiniowane przy użyciu klasy base::FieldTrial z pliku src/​base/​metrics/​field_trial.h

Jeśli chodzi o możliwość śledzenia za pomocą tych nagłówków, zależy to od właściwości unikalności rzeczywistej kombinacji prób terenowych, których nie znam.Pamiętaj jednak, że nawet jeśli usuniesz nagłówki X-Chrome-Variations, wyłączysz pliki cookie, pamięć lokalną i pamięć flash Flash, Twoja przeglądarka będzie nadal możliwa do zidentyfikowania za pomocą technik cache fingerprinting lub przy użyciu kombinacji nagłówków żądań, które normalnie wysyła, informacje o konfiguracji systemu są dostępne dla JavaScript lub Flash i prawdopodobnie bloki adresu IP, których zwykle używasz, o czym świadczy numer Panopticlick EFF. Dlatego gra o prywatność jest w zasadzie stracona, chyba że używasz starannie skonfigurowanego Tor z ustawieniem Privoxy, a nawet wtedy możliwe są przecieki.