Fiddlerでchromeから送信されたhttpリクエストを調べていたところ、次のhttpヘッダーに気づきました。
X-Chrome-Variations: CNa1yQEIjrbJAQiYtskBCKK2yQEIp7bJAQiptskBCLmDygE=
これは、base64でエンコードされた35バイトの配列です。
8,214,181,201,1,
8,142,182,201,1,
8,152,182,201,1,
8,162,182,201,1,
8,167,182,201,1,
8,169,182,201,1,
8,185,131,202,1
私はこの数のいくつかの例をウェブ上で見ました。
誰かがこれが何であるか、そしてなぜクロムがそれを送信するのか(そしてそれが私を識別/追跡するために使用できるかどうか)を私に説明できますか?
Google Chromeの開発者は、Chromeのインストールをランダムに選択して機能を有効にし、その機能がどのように機能するかを確認することで、実験的な機能をテストします。これの一般的な用語は、フィールドトライアルです。Google Chromeを初めて実行すると、1〜8192の乱数が生成され、後でそれを使用して特定のフィールドトライアルに参加するかどうかが決定されます。
「 GoogleChromeとプライバシー」ホワイトペーパー(PDF、2012年10月、Chrome 22.0.1229.79現在)にこれらの詳細が記載されています。
ユーザーが実際に役立つと思う機能の構築をガイドするために、ユーザーのサブセットは、新しい機能が広く世界に公開される前に、新しい機能を覗き見する場合があります。Chromeのインストールで現在アクティブになっているフィールドトライアルは、Googleサーバーに送信されるすべてのリクエストに含まれ、Googleが特定のChromeのバリエーションによって生成されたログのみのログをフィルタリングできるようにします。この
Chrome-Variationsヘッダーには個人を特定できる情報は含まれず、Chrome自体のインストール状態を厳密に説明します。特定のインストールでアクティブなバリエーションは、最初の実行時にランダムに選択される1〜8192(13ビットのエントロピー)のシード番号によって決定されます。バリエーションシードをリセットする場合は、コマンドラインフラグ「--reset-variation-state」を指定してChromeを実行します。
*.google.<TLD>Google Chromeは、フォームのすべてのドメイン(.<TLD>.com、.org、.co.uk、.cn、.bizなどのトップレベルドメイン)に現在アクティブなフィールドトライアルに関する情報を送信します。これらのドメインのすべてではありませんが、ほとんどがGoogleによって所有されています。フィールドトライアル識別子はプロトコルバッファに保存され、base64でエンコードされ、X-Chrome-Variationsヘッダーで送信されます。使用統計とクラッシュレポートをGoogleに送信することを選択した場合(でアクセス可能なチェックボックスchrome://chrome/settings/search#privacy)、X-Chrome-UMA-Enabled: 1ヘッダーも送信されます。シークレットモードの場合、ヘッダーは送信されません。
リビジョン156914(リリース表によるとChrome 23以降のバージョンに含まれています)以降、フィールドトライアルのリストがabout:versionページのバリエーションタイトルの下に表示されます。
関連するソースコードは、chromium / src / chrome / browser / renderer_host/chrome_resource_dispatcher_host_delegate.ccファイルにあります。ヘッダーはChromeResourceDispatcherHostDelegate::AppendChromeMetricsHeadersメソッドで送信されます。の値はメソッドX-Chrome-Variationsで作成されChromeResourceDispatcherHostDelegate::UpdateVariationIDsHeaderValueます。フィールドトライアルはbase::FieldTrial、ファイルsrc / base /metrics/field_trial.hのクラスを使用して定義されます。
それらのヘッダーを使用してあなたを追跡する能力に関しては、それは私が知らないあなたのフィールドトライアルの実際の組み合わせの一意性の特性に依存します。ただし、ヘッダーを削除し、Cookie、ローカルストレージ、Flashローカルストレージを無効にしても、キャッシュフィンガープリント技術を使用するか、通常送信されるリクエストヘッダーの組み合わせを使用してX-Chrome-Variations、ブラウザを識別できる場合があることに注意してください。 EFFのPanopticlickで示されているように、JavaScriptまたはFlash、および場合によっては使用する傾向のあるIPアドレスブロック。したがって、Privoxyセットアップで慎重に構成されたTorを使用しない限り、プライバシーゲームは基本的に失われ、それでもリークが発生する可能性があります。