¿Cuál es el siguiente encabezado para: X-Chrome-Variations?

Question

estaba mirando peticiones HTTP enviado por el cromo en Fiddler, y me di siguiente cabecera HTTP, que me intriga:

X-Chrome-Variations: CNa1yQEIjrbJAQiYtskBCKK2yQEIp7bJAQiptskBCLmDygE= 

Ésta es una base64 35 bytes matriz:

8,214,181,201,1, 
8,142,182,201,1, 
8,152,182,201,1, 
8,162,182,201,1, 
8,167,182,201,1, 
8,169,182,201,1, 
8,185,131,202,1 

I' he visto varios ejemplos de este número en la web.

Puede alguien explicar a mí lo que es esto, y por qué lo envía fuera de cromo (y si se podría utilizar para identificar/rastrearme)?

Answer 1

desarrolladores de Google Chrome probar funciones experimentales, permitiendo una característica de una pequeña selección aleatoria de cromo instala y ver cómo funciona la característica. El término común para esto es pruebas de campo. Cuando Google Chrome se ejecuta por primera vez, genera un número aleatorio entre 1 y 8192 y luego lo usa para determinar si participa en una prueba de campo en particular.

El documento técnico "Google Chrome and Privacy" (PDF, octubre de 2012, actual de Chrome 22.0.1229.79) proporciona estos detalles.

Para ayudar a guiar la construcción de las características que los usuarios realmente encuentran útiles, un subconjunto de usuarios puede obtener un adelanto de nuevas funcionalidades antes de que se lance al mundo en general. Las pruebas de campo que están actualmente activas en su instalación de Chrome se incluirán en todas las solicitudes enviadas a los servidores de Google para permitir que Google filtre los registros de solo los generados por una variación determinada de Chrome. Este encabezado Chrome-Variations no contendrá ninguna información de identificación personal y describirá estrictamente el estado de la instalación de Chrome.

Las variaciones activas de una instalación dada se determinan por un número semilla entre 1 y 8192 (13 bits de entropía) que se selecciona al azar en la primera ejecución. Si desea reiniciar su semilla de variaciones, ejecute Chrome con el indicador de línea de comando "--reset-variation-state".

Google Chrome envía información sobre qué ensayos de campo son actualmente activo a todos los dominios de la forma *.google.<TLD> (donde .<TLD> es un dominio de nivel superior, tales como .com, .org, .es, .cn, .biz y así sucesivamente). La mayoría, pero no todos, esos dominios son propiedad de Google. Los identificadores de ensayos de campo se almacenan en un protocol buffer, codificado con base64 y enviado en la cabecera X-Chrome-Variations. Si ha optado por enviar estadísticas de uso e informes de fallos a Google (una casilla accesible en chrome://​chrome/​settings/​search#privacy), también se envía una cabecera X-Chrome-UMA-Enabled: 1. Los encabezados no se envían cuando está en modo de incógnito.

Comenzando con revision 156914 (incluido en Chrome 23 y versiones posteriores según release table), la lista de ensayos de campo se muestra bajo el título Variaciones en la página about:version.

El código fuente relevante se encuentra en el archivo chromium/​src/​chrome/​browser/​renderer_host/​chrome_resource_dispatcher_host_delegate.cc. Los encabezados se envían en el método ChromeResourceDispatcherHostDelegate::​AppendChromeMetricsHeaders. El valor de X-Chrome-Variations se construye en el método ChromeResourceDispatcherHostDelegate::​UpdateVariationIDsHeaderValue. Las pruebas de campo se definen utilizando la clase base::FieldTrial del archivo src/​base/​metrics/​field_trial.h

En cuanto a la capacidad de rastrearlo utilizando esos encabezados, eso depende de las propiedades de singularidad de la combinación real de sus pruebas de campo, que no conozco.Pero tenga en cuenta que incluso si tira los encabezados X-Chrome-Variations, deshabilita las cookies, el almacenamiento local y el almacenamiento local Flash, su navegador aún puede identificarse usando las técnicas cache fingerprinting o usando la combinación de los encabezados de solicitud que normalmente envía, la información de configuración del sistema disponible para JavaScript o Flash y, posiblemente, los bloques de direcciones IP que tiende a utilizar, como lo demuestra el EFF Panopticlick. Por lo tanto, el juego de privacidad se pierde básicamente a menos que use un Tor cuidadosamente configurado con la configuración de Privoxy, e incluso entonces las fugas son posibles.