Гораздо легче найти ошибку, нежели истину. Ошибка лежит на поверхности, и ее замечаешь сразу, а истина скрыта в глубине, и не всякий может отыскать ее

...

Браузер Waterfox перешёл в руки компании System1
Mon, 17 Feb 2020 07:34:52 +0300

В Firefox появится режим отложенной загрузки изображений
Thu, 13 Feb 2020 19:57:02 +0300

Подготовлена реализация Git на Shell
Wed, 12 Feb 2020 10:50:59 +0300

Релиз рабочего стола KDE Plasma 5.18
Tue, 11 Feb 2020 15:36:10 +0300

Chrome начнёт блокировать загрузку файлов по HTTP
Fri, 07 Feb 2020 12:40:35 +0300

Апелляционный суд подтвердил правоту Брюса Перенса в разбирательстве с Grsecurity
Fri, 07 Feb 2020 11:25:11 +0300

Инициатива по добавлению рабочего стола Unity 8 и дисплейного сервера Mir в Debian
Fri, 07 Feb 2020 11:02:49 +0300

GCC 9 портирован для OS/2
Fri, 07 Feb 2020 10:19:54 +0300

Xiaomi, Oppo и Vivo развивают платформу для публикации Android-приложений
Fri, 07 Feb 2020 09:57:46 +0300

Техника скрытой передачи данных через изменение яркости LCD-экрана
Thu, 06 Feb 2020 20:39:35 +0300

Заголовок X-Client-Data как метод идентификации пользователей Chrome
Thu, 06 Feb 2020 14:24:14 +0300

В Chrome намечено включение блокировки навязчивой видеорекламы
Thu, 06 Feb 2020 11:33:55 +0300

Опубликован план окончания поддержки CoreOS Container Linux
Thu, 06 Feb 2020 09:22:56 +0300

В мобильный браузер Firefox Preview добавлена поддержка дополнений
Wed, 05 Feb 2020 22:09:50 +0300

Проект OpenWifi с реализацией открытого Wi-Fi чипа на базе FPGA и SDR
Tue, 04 Feb 2020 14:12:16 +0300

Новости OPENNET
Новости

При обсуждении инициативы Google по унификации содержимого HTTP-заголовка User-Agent, разработчик браузера Kiwi обратил внимание на остающийся в Chrome HTTP-заголовок "X-Client-Data", который потенциально нарушает действующий в Евросоюзе общий регламент по защите данных (GDPR). В ходе дискуссии также подверглась критике двойственность действий компании Google, которая с одной стороны продвигает методы для блокирования скрытой идентификации и отслеживания действий пользователей, но с другой стороны не спешит удалять из Chrome поддержку заголовка X-Client-Data, который может применяться для идентификации экземпляров браузера при обращении к сервисам Google.

Заголовок X-Client-Data не является скрытой функциональностью и его поведение описано в документации. Через X-Client-Data компания Google получает данные об активности тех или иных экспериментальный возможностей в Chrome в привязке к своим сайтам (например, в ходе эксперимента Google может активировать в Youtube определённые тестовые возможности, если они поддерживаются браузером или попытаться сопоставить возникающие проблемы с активацией экспериментальных функций).

Заголовок выставляется только для запросов к сайтам Google, соответствующих маскам "*.doubleclick.net", "*.googlesyndication.com", "www.googleadservices.com", "*.google.<TLD>" и "*.youtube.<TLD>", и отправляемых через HTTPS. В режиме инкогнито заголовок не заполняется, но в случае смены аутентифицированного профиля пользователя в Google на гостевой профиль или при вызове операции очистки данных заголовок не сбрасывается и продолжает отправляться с прежним значением.

Заявлено, что заголовок не содержит персонально идентифицируемой информации, а только описывает состояние установки Chrome и активные экспериментальные возможности. Если в настройках отключена отправка телеметрии об использовании браузера и генерация отчётов о крахах, при генерации базового значения заголовка X-Client-Data используется всего 13 бит энтропии (8000 разных комбинаций), что недостаточно для идентификации.

С учётом того, что в заголовке также кодируются некоторые настройки и параметры системы, в конечном счёте, содержимое X-Client-Data вполне подходит как дополнительный источник данных для косвенной идентификации пользователя в небольшой период времени (экспериментальные возможности со временем включаются и отключаются, что приводит к периодической смене значения в X-Client-Data).

Тем не менее, помимо начальной энтропии при формировании значения X-Client-Data также используется seed-последовательность, возвращаемая серверами Google и зависящая от страны, IP-адреса и других критериев, которые Google посчитает важными (например, ничто не мешает вернуть большую случайную последовательность, которая станет точным идентификатором).

Кроме того, проверка по маскам доменов Google при отправке X-Client-Data не исключает ситуаций, когда злоумышленник может зарегистрировать домен вида "youtube.xn--55qx5d" и начать собирать идентификаторы.

9.0909 68.7710 0.578 63.4536

НОВОСТИ: Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутентифика ... Fri, 14 Feb 2020 11:14:28 +0300

После четырёх месяцев разработки представлен релиз OpenSSH 8.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome