Yoav Weiss วิศวกรทีมงาน Google Chrome โพสข้อเสนอสเปค HTTP header ตัวใหม่ที่ชื่อว่า UA-CH (User Agent Client Hint) สำหรับใช้งานแทนที่สตริง User-Agent ทุกวันนี้ที่แสดงข้อมูลผู้ใช้จำนวนมาก ทั้งเวอร์ชั่นย่อยเบราว์เซอร์และระบบปฎิบัติการจนเว็บไซต์สามารถติดตามผู้ใช้ได้อย่างแม่นยำ โดยใน UA-CH เว็บไซต์จะต้องขออนุญาตอ่านข้อมูลเบราว์เซอร์เป็นกรณีไป ไม่เช่นนั้นจะได้เพียงชื่อเบราว์เซอร์และเวอร์ชั่นหลักของเบราว์เซอร์เท่านั้น

อย่างไรก็ดี ขณะที่กระทู้กำลังพูดคุยเรื่องเสปค ก็มีผู้ถามว่าถ้ากูเกิลสนใจความเป็นส่วนตัว ทำไมจึงยังเติม HTTP header ที่ชื่อว่า x-client-data ที่เป็นเลขสุ่มระบุตัวตนผู้ใช้ได้อย่างแม่นยำ และทำงานเฉพาะโดเมนของกูเกิลอยู่

x-client-data ทำงานกับโดเมนจำนวนมากของกูเกิล เช่น google.com, android.com, gstatic.com แต่ก็ยังทำงานกับโดเมนยิงโฆษณาอย่าง doubleclick.com และ doubleclick.net ด้วย (ซอร์สโค้ดอยู่ในไฟล์ google_util.cc ฟังก์ชั่น IsGoogleAssociatedDomainUrl) โดยหากผู้ใช้เปิดยินยอมส่งค่ากลับกูเกิลเพื่อวิเคราะห์การใช้งาน ค่า x-client-data จะเป็นเลขสุ่มความละเอียดสูง (high entropy) ทำให้ระบุตัวตนเบราว์เซอร์ได้อย่างแม่นยำ หรือแม้จะปิดการส่งข้อมูลกลับ Chrome ก็จะส่งค่า x-client-data กลับไปอยู่ดี แต่ลดความแม่นยำลงโดยค่าสุ่มจะมี 8000 ค่า แต่ก็ช่วยทำให้การติดตามผู้ใช้ง่ายลงเป็นอย่างมาก

การปิดค่า x-client-data มีเพียงการใช้งานในโหมด Incognito เท่านั้น หรือหากต้องการลดการติดตามตัว ต้องสั่งออปชั่น --reset-variation-state ทุกครั้งที่เปิดเบราว์เซอร์เอาเอง

ที่มา - GitHub: w3ctag