Что такое следующий заголовок для: X-Chrome-Variations?

17

Я смотрел http-запросы, отправленные хром в Fiddler, и я заметил следующий заголовок http, который меня озадачил:

 X-Chrome-Variations: CNa1yQEIjrbJAQiYtskBCKK2yQEIp7bJAQiptskBCLmDygE=

Это 35-байтовый массив с кодировкой base64:

8,214,181,201,1,
8,142,182,201,1,
8,152,182,201,1,
8,162,182,201,1,
8,167,182,201,1,
8,169,182,201,1,
8,185,131,202,1

Я видел несколько примеров этого номера в Интернете.

Может кто-нибудь объяснить мне, что это такое, и почему хром отправляет его (и если он может быть использован для идентификации / отслеживания меня)?

    
задан Arsen Zahray 29.08.2012 в 19:42
источник
  • Можете ли вы перейти к chrome: // version / и проверить, есть ли новая запись для вас, которая начинается с «Variations». Соответствуют ли эти значения вашей информации заголовка? –  Sep 16 '12 at 6:48 16.09.2012 в 08:48

1 ответ

40

Разработчики Google Chrome тестируют экспериментальные функции, предоставляя возможность для небольшого случайного выбора установок Chrome и просмотра того, как работает эта функция. Общий термин для этого - полевые испытания . Когда Google Chrome работает в первый раз, он генерирует случайное число от 1 до 8192, а затем использует его для определения того, участвовать ли в конкретном полевом испытании.

« Google Chrome и Privacy " (PDF, октябрь 2012 года, текущая версия Chrome 22.0.1229.79) содержит следующие сведения.

  

Чтобы помочь в построении функций, которые пользователи действительно находят полезными, подмножество пользователей может заглянуть под новую функциональность до того, как оно будет запущено в мир в целом. Полевые испытания, которые в настоящее время активны при установке Chrome, будут включены во все запросы, отправленные на серверы Google, чтобы Google мог фильтровать журналы только для тех, которые генерируются данным вариантом Chrome. Этот заголовок Chrome-Variations не будет содержать личную информацию и будет строго описывать состояние установки самого Chrome.

     

Изменения, действующие для данной установки, определяются количеством семян от 1 до 8192 (13 бит энтропии), которое случайным образом выбирается при первом запуске. Если вы хотите сбросить семена вариантов, запустите Chrome с флагом командной строки «--reset-variant-state».

Google Chrome отправляет информацию о том, какие полевые испытания в настоящее время активны во всех доменах формы *.google.<TLD> (где .<TLD> - это домен верхнего уровня, такой как .com, .org, .co.uk, .cn , .biz и т. д.). Большинство, но не все из этих доменов принадлежат Google. Идентификаторы полевых проб хранятся в буфере протоколов , закодированном с base64 и отправленном в заголовке X-Chrome-Variations . Если вы решили отправить статистику использования и отчеты о сбоях в Google (флажок доступен в chrome://​chrome/​settings/​search#privacy ), также отправляется X-Chrome-UMA-Enabled: 1 . Заголовки не отправляются в режиме инкогнито.

Начиная с ревизии 156914 (входит в состав Chrome 23 и более поздних версий в соответствии с таблица выпуска ), список полевых испытаний отображается под заголовком Variations на странице about:version .

Соответствующий исходный код находится в хром / Файл src / chrome / browser / renderer_host / chrome_resource_dispatcher_host_delegate.cc . Заголовки отправляются методом ChromeResourceDispatcherHostDelegate::​AppendChromeMetricsHeaders . Значение X-Chrome-Variations построено в методе ChromeResourceDispatcherHostDelegate::​UpdateVariationIDsHeaderValue . Полевые испытания определяются с использованием класса base::FieldTrial из файла src / базовые / метрики / field_trial.h

Что касается способности отслеживать вас с использованием этих заголовков, это зависит от свойств уникальности фактической комбинации ваших полевых испытаний, о которых я не знаю. Но имейте в виду, что даже если вы разделите заголовки X-Chrome-Variations , отключите файлы cookie, локальное хранилище и локальное хранилище Flash, ваш браузер все еще может быть идентифицирован с помощью кеш-фингерпринтинг или используя комбинацию заголовков запросов, которые он обычно отправляет, информацию о вашей конфигурации системы, доступную для JavaScript или Flash, и, возможно, блоки IP-адресов, которые вы, как правило, используете, как показано EFF's Panopticlick . Таким образом, игра в личную жизнь в основном теряется, если вы не используете тщательно настроенный Tor с настройкой Privoxy, и даже тогда возможны утечки.

    
ответ дан Till Ulen 05.11.2012 в 21:32
источник