X-Client-Data

Sporer Chrome deg i det skjulte?

Nettleseren sender spesiell kode kun til Googles egne nettsteder.

Google avviser at den spesielle X-Client-Data-headeren som nettleseren tilbyr Googles egne nettsteder, brukes til identifisering eller sporing av brukerne.
Google avviser at den spesielle X-Client-Data-headeren som nettleseren tilbyr Googles egne nettsteder, brukes til identifisering eller sporing av brukerne. (Bilde: Wikipedia)

Nettleseren sender spesiell kode kun til Googles egne nettsteder.

Google har de siste månedene planer om å droppe Chrome-støtten for ulike metoder som brukes til å spore brukerne på tvers av nettsteder. Det inkluderer i første rekke tredjepartscookies, User Agent-strengen slik vi kjenner den, i tillegg til SameSite-funksjonaliteten som for alvor ble innført med Chrome 80. (for abonnenter).

Fra et brukerståsted er det tilsynelatende ingenting negativt med dette. Men enkelte mener at Google bare velger å gjøre dette fordi selskapet angivelig i liten grad påvirkes av det.

X-Client-Data

Flere nettsteder, blant annet The Register og 9to5Google har den siste uken skrevet om en spesiell kode i Chrome som trolig er ukjent for de aller fleste. 

Dette er noe som kalles for X-Client-Data. Dette er tekststreng som for tiden ser ut til å bestå av minst 60 tegn, primært bokstaver og tall. 

Alle nettlesere inkluderer en hel del informasjon i sine forespørsler til webservere om å laste ned eller opp data. Dette kalles for HTTP-headere. Også X-Client-Data-informasjonen inkluderes i serverforespørsler som en slik header, men kun til Google-eide nettsteder og tjenester, inkludert selskapets tjenester som leverer nettannonser. Det er dermed kun Google selv som kan bruke X-Client-Data-informasjonen til noe. 

Les også

X-Client-Data-headeren er i og for seg ikke noe nytt eller hemmelig. Google selv omtaler den på denne siden, men uten å forklare veldig grundig hvordan den fungerer. Dette har ført til spekulasjoner. 

Til testformål

Årsaken til at X-Client-Data nå blir omtalt i pressen, er at en utvikler av den konkurrerende Kiwi Browser denne uken stilte spørsmål om denne headeren i en diskusjon om den nevnte User Agent-strengen. Utvikleren mener at X-Client-Data brukes av Google til å spore brukerne og at den er et brudd på GDPR. 

Ifølge omtalen til Google, brukes X-Client-Data, som tidligere het X-Chrome-Variations, til testformål, blant annet A/B-testing av ny funksjonalitet, både i nettleseren og i selskapets webbaserte tjenester. 

X-Client-Data skal fortelle Google hvilke felttester som er aktive i den aktuelle Chrome-installasjonen, kombinert med et nummer som velges vilkårlig ved første kjøring. Hvor mange sifre dette nummeret består av, avhenger av om brukeren har skrudd av rapporteringen av bruksstatistikk og krasjtilfeller.

Er dette deaktivert, skal dette være et tall mellom 0 og 7999, noe som alene ikke er nok til å identifisere en bruker blant alle som bruker Chrome. Hvor stort tallet er dersom rapporteringen er aktivert, er ikke oppgitt. 

Hos de fleste er rapporteringen aktivert som standard. Den kan deaktiveres med en bryter i Chrome-innstillingene, under overskriften «Hjelp til med å forbedre funksjonene og ytelsen til Chrome».

Kan resettes

Det er også mulig å resette dette nummeret ved å starte Chrome fra kommandolinjen og inkludere denne oppstartsparameteren --reset-variation-state

En nærmere beskrivelse av hvordan dette gjøres i henholdsvis Windows, MacOS og Linux, finnes på denne siden, men trolig vil mange brukere ikke lykkes med å få til dette.

På den samme siden er også beskrevet hvordan noe tilsvarende kan gjøres i Chrome for Android. Men dette innebærer å aktivere funksjonalitet som er merket med «Dangerous», så det er kanskje ikke tryggeste man kan gjøre.

Mer om disse mulighetene finnes i denne litt eldre artikkelen.

Les også

Det er verdt å nevne at X-Client-Data-headeren ikke blir sendt når et Chrome-vindu åpnes i inkognitomodus.

Vår test

Digi.no har testet hvordan X-Client-Data-strengen varierer mens vi brukt Chrome i ulike oppsett. Alle tester er gjort på Youtube.com og er nedenfor gjengitt i den rekkefølgen vi har gjort dem.

X-Client-Data-headeren som Chrome sender til Googles nettsteder. Her vist i utviklerverktøyet til Chrome i forbindelse med et besøk på YouTube.
X-Client-Data-headeren som Chrome sender til Googles nettsteder. Her vist i utviklerverktøyet til Chrome i forbindelse med et besøk på YouTube. Header-oversikten er tilgjengelig ved å velge Network-fanen i utviklerverktøyene og en av URL-ene som vises til venstre i verktøyet. Skjermbilde: digi.no

Windows-PC 1 
Rapportering aktivert:

X-Client-Data: CIW2yQEIorbJAQjEtskBCKmdygEIvLDKAQiWtcoBCOy1ygEIjrrKARirpMoB

Omstart av Chrome med --reset-variation-state
X-Client-Data: CIy2yQEIpbbJAQjBtskBCKmdygEIgqDKAQi8sMoBCJa1ygEI7LXKAQiNusoBGKukygEYlrfKAQ==

Omstart av Chrome uten --reset-variation-state
X-Client-Data: CIy2yQEIpbbJAQjBtskBCKmdygEIgqDKAQi8sMoBCJa1ygEI7LXKAQiNusoBGKukygEYlrfKAQ==

Omstart av Chrome med --reset-variation-state
X-Client-Data: CKi1yQEIlLbJAQiktskBCMS2yQEIqZ3KAQjLrsoBCLywygEIlrXKAQjttcoBCI26ygEYq6TKARjWscoB

Omstart av Chrome med --reset-variation-state
X-Client-Data: CJK2yQEIorbJAQjBtskBCKmdygEI+Z/KAQi9sMoBCJe1ygEI7bXKAQiOusoBGKukygEYmLfKAQ==

Rapportering deaktivert, omstart av Chrome
X-Client-Data: CIu2yQEIorbJAQjEtskBCKmdygEIvbDKAQiWtcoBCO21ygEIjbrKARirpMoB

Omstart av Chrome med --reset-variation-state
X-Client-Data: CIi2yQEIprbJAQjBtskBCKmdygEI0K/KAQi8sMoBCJa1ygEI7LXKAQiNusoBGKukygE=

Windows-PC 2
Rapportering deaktivert, Chrome 79

X-Client-Data: CKe1yQEIl7bJAQijtskBCMS2yQEIqZ3KAQi8sMoBCPe0ygEIlrXKAQjttcoBCIC2ygEIjrrKARirpMoB

Oppdatert til Chrome 80
X-Client-Data: CKe1yQEIl7bJAQijtskBCMS2yQEIqZ3KAQi8sMoBCJa1ygEI7bXKAQiAtsoBCI66ygEYq6TKAQ==

Nøyaktig hva hver av disse endringene som skjer i X-Client-Data, egentlig innebærer er uklart, men ifølge 9to5Google kan variasjoner i strengen i alle fall skyldes at utvalget av aktive felttester blir skiftet ut i forbindelse med en vanlig omstart. Som en ser over, er også det visse deler av X-Client-Data-strengen som ikke endres, heller ikke med overgang til en annen PC.

Google: – Ikke identifisering eller sporing

Både 9to5Google og The Register har mottatt en uttalelse fra Google om påstandene om at X-Client-Data-headeren brukes til sporing. Dette avvises kategorisk. Oversatt til norsk lyder uttalelsen slik: 

– X-Client-Data-headeren blir brukt til å hjelpe Chrome med å teste ny funksjonalitet før de rulles ut til alle brukere. Informasjonen som er inkludert i headeren, gjenspeiler variasjonene, eller nye funksjonalitetstester som en installasjon av Chrome for tiden er innrullert i. Denne informasjonen hjelper oss med å gjøre målinger på serversiden for store grupper med installasjoner; den er ikke brukt til å identifisere eller spore individuelle brukere.

Dette er klar tale, men det må være opp til den enkelte brukere å avgjøre om de vil stole på Google i dette tilfellet. Noe endelig svar får vi trolig ikke før en personvernmyndighet krever innsyn. I mellomtiden er det mange alternativer til Chrome der ute, for den som er i tvil. 

Les også

Kommentarer (6)

Kommentarer (6)
Til toppen