http - type - ¿Cuál es el siguiente encabezado para: X-Chrome-Variations?
x content type options nosniff (1)
Estaba viendo las solicitudes http enviadas por chrome en Fiddler, y noté que el siguiente encabezado http me desconcierta:
X-Chrome-Variations: CNa1yQEIjrbJAQiYtskBCKK2yQEIp7bJAQiptskBCLmDygE=
Esta es una matriz de 35 bytes codificada en base64:
8,214,181,201,1,
8,142,182,201,1,
8,152,182,201,1,
8,162,182,201,1,
8,167,182,201,1,
8,169,182,201,1,
8,185,131,202,1
He visto varios ejemplos de este número en la web.
¿Alguien me puede explicar qué es esto y por qué Chrome lo envía (y si podría usarse para identificarme / rastrearme)?
Los desarrolladores de Google Chrome prueban las funciones experimentales al habilitar una función para una pequeña selección aleatoria de instalaciones de Chrome y ver cómo funciona la función. El término común para esto es pruebas de campo . Cuando Google Chrome se ejecuta por primera vez, genera un número aleatorio entre 1 y 8192 y, posteriormente, lo utiliza para determinar si participa en una prueba de campo en particular.
El documento técnico " Google Chrome and Privacy " (PDF, octubre de 2012, actualizado a partir de Chrome 22.0.1229.79) proporciona estos detalles.
Para ayudar a guiar la construcción de características que a los usuarios les resultan realmente útiles, un subconjunto de usuarios puede echar un vistazo a la nueva funcionalidad antes de que se lance al mundo en general. Las pruebas de campo que están actualmente activas en su instalación de Chrome se incluirán en todas las solicitudes enviadas a los servidores de Google para permitir que Google filtre los registros solo para aquellos generados por una determinada variación de Chrome. Este encabezado
Chrome-Variations
no contendrá ninguna información de identificación personal y describirá estrictamente el estado de la instalación de Chrome.Las variaciones activas para una instalación dada están determinadas por un número de semilla entre 1 y 8192 (13 bits de entropía) que se selecciona aleatoriamente en la primera ejecución. Si desea restablecer su semilla de variaciones, ejecute Chrome con la marca de línea de comando "--reset-documentation-state".
Google Chrome envía información sobre qué pruebas de campo están actualmente activas a todos los dominios del formulario *.google.<TLD>
(donde .<TLD>
es un dominio de nivel superior, como .com, .org, .co.uk, .cn, .biz y así sucesivamente). La mayoría de estos dominios, pero no todos, son propiedad de Google. Los identificadores de prueba de campo se almacenan en un búfer de protocolo , codificados con base64 y enviados en el encabezado de X-Chrome-Variations
. Si ha optado por enviar estadísticas de uso e informes de fallos a Google (una casilla de verificación accesible en chrome://chrome/settings/search#privacy
), también se envía un encabezado X-Chrome-UMA-Enabled: 1
. Los encabezados no se envían cuando está en modo de incógnito.
Comenzando con la revisión 156914 (incluida en Chrome 23 y versiones posteriores de acuerdo con la tabla de lanzamiento ), la lista de pruebas de campo se muestra bajo el título Variaciones en la página about:version
.
El código fuente relevante se encuentra en el archivo chromium / src / chrome / browser / renderer_host / chrome_resource_dispatcher_host_delegate.cc . Los encabezados se envían en el método ChromeResourceDispatcherHostDelegate::AppendChromeMetricsHeaders
. El valor de X-Chrome-Variations
se construye en el método ChromeResourceDispatcherHostDelegate::UpdateVariationIDsHeaderValue
. Las pruebas de campo se definen utilizando la clase base::FieldTrial
del archivo src / base / metrics / field_trial.h
En cuanto a la capacidad de rastrearte usando esos encabezados, eso depende de las propiedades de singularidad de la combinación real de tus pruebas de campo, de las que no tengo conocimiento. Pero tenga en cuenta que incluso si elimina los encabezados de X-Chrome-Variations
, deshabilita las cookies, el almacenamiento local y el almacenamiento local de Flash, es posible que su navegador aún se pueda identificar mediante técnicas de huellas dactilares de caché o mediante la combinación de los encabezados de solicitud que normalmente envía. la información de configuración del sistema disponible para JavaScript o Flash y posiblemente los bloques de direcciones IP que tiendes a usar, como lo demuestra el Panopticlick de EFF. Por lo tanto, el juego de privacidad se pierde básicamente a menos que use una configuración Tor con Privoxy cuidadosamente configurada, e incluso entonces es posible que haya fugas.