Texte caché et commentaires XML
Pour un fichier public, vérifier seulement ce qui apparaît à l'écran ne suffit pas.
Les fichiers SVG, HTML et XML peuvent contenir du texte non affiché ou des commentaires.
Même si l'apparence est vide, le fichier peut contenir notes de travail, texte avant suppression, noms, nom d'entreprise, URL interne ou nom de dossier.
Pour l'anonymat, il faut vérifier non seulement les informations visibles, mais aussi celles qui peuvent être lues si quelqu'un ouvre le fichier.
Cet article explique comment texte caché et commentaires XML deviennent des risques, et quoi vérifier avant publication.
Qu'est-ce que le texte caché
Le texte caché est une information textuelle qui reste dans le fichier sous une forme invisible ou difficile à remarquer.
Il peut s'agir de texte transparent, de texte déplacé hors de l'écran, de calques masqués, de texte extrêmement petit ou d'éléments masqués par CSS.
| Type | Apparence | Contenu |
|---|---|---|
| Texte transparent | Invisible | Reste comme chaîne de caractères |
| Texte hors écran | Hors de la zone visible | Reste avec coordonnées |
| Élément masqué | Non affiché | Reste comme balise |
| Texte trop petit | Difficile à lire | Se trouve par zoom ou recherche |
| Brouillon avant suppression | Parfois invisible | Reste comme commentaire ou autre élément |
Le texte caché peut rester sans intention malveillante.
Une note de travail, un nom que l'on croit supprimé, un ancien titre ou un nom d'entreprise dans un modèle peut rester dans un fichier public.
Qu'est-ce qu'un commentaire XML
Un commentaire XML est une note écrite dans le fichier.
Il n'est normalement pas visible dans le navigateur, mais il est lisible en ouvrant le fichier.
Il prend une forme comme <!-- comment --> et s'utilise notamment dans SVG, HTML et XML.
| Ce qui reste dans un commentaire | Exemple | Attention pour l'anonymat |
|---|---|---|
| Note de travail | supprimer plus tard le nom de XX | Nom d'organisation restant |
| Nom de responsable | checked by Tanaka | Nom personnel visible |
| URL interne | staging.example | Environnement de développement visible |
| Nom de dossier | project-alpha | Les personnes liées comprennent |
| Texte à supprimer | Ancienne description | Information que l'on croyait effacée |
Les commentaires sont utiles en développement ou création.
Mais dans un fichier public, ils rendent lisibles des informations non affichées.
Pourquoi cela concerne l'anonymat
Le texte caché et les commentaires peuvent indiquer directement une personne ou une appartenance.
Ils se combinent aussi à d'autres informations même s'ils sont faibles seuls. Nom de fichier, auteur, heure de publication, contenu de l'image, URL et anciennes publications réduisent alors les candidats.
| Information restante | Ce à quoi elle se relie | Ce qui arrive |
|---|---|---|
| Nom d'entreprise | Contenu publié, métier | Appartenance déduite |
| Nom de créateur | Compte, anciens fichiers | Rapproche du nom réel |
| URL interne | Organisation ou projet | Personnes liées réduites |
| Texte de brouillon | Témoignage d'origine | Information supprimée réapparaît |
| Date | Heure de publication, événement | Recoupement chronologique |
Les informations invisibles sont faciles à manquer pour la personne qui publie.
C'est pourquoi elles doivent entrer dans la vérification avant publication.
Comment vérifier
La base est d'ouvrir le fichier comme du texte.
SVG, HTML et XML s'ouvrent dans un éditeur de texte. Cherchez noms, entreprises, écoles, adresses e-mail, URL, marqueurs de commentaire, anciens titres et termes internes.
| Méthode de vérification | Ce qu'il faut regarder | Attention |
|---|---|---|
| Ouvrir dans un éditeur de texte | Commentaires, balises, chaînes | Ne pas juger seulement l'affichage |
| Recherche dans le fichier | Noms, organisations, URL | Chercher plusieurs variantes |
| Voir le code source dans le navigateur | Structure HTML ou SVG | Différente du rendu |
| Agrandir | Petit texte, bord de l'image | Vérifier aussi les fuites visuelles |
Chercher seulement son propre nom ne suffit pas.
Vérifiez aussi entreprise, service, école, nom de projet, ancien pseudonyme, e-mail, lieu et termes internes.
Après un outil, vérifier manuellement
Les outils d'optimisation ou de suppression peuvent réduire commentaires et métadonnées inutiles.
Mettre un fichier dans un service web d'optimisation ou de suppression peut transmettre son contenu et des informations d'accès à l'extérieur. Pour une publication qui exige l'anonymat, commencez par une vérification locale.
Mais on ne peut pas tout confier à l'outil.
Le comportement des outils dépend des réglages. Ils ne remplacent pas complètement un jugement d'anonymat sur ce qu'il faut garder ou supprimer.
| Ce que l'outil peut réduire | Ce que l'humain regarde | Raison |
|---|---|---|
| Commentaires | Texte dans l'image | L'information visible reste |
| Attributs inutiles | Noms propres | Le sens n'est pas jugé |
| Métadonnées | Contexte | Certaines infos ne parlent qu'aux personnes liées |
| Éléments vides | Nom de fichier | Les informations externes restent |
Pour une publication qui exige l'anonymat, ouvrez encore une fois le fichier après l'outil.
Supprimer les commentaires ne supprime pas le contexte
Même après suppression des commentaires XML, des indices contextuels peuvent rester.
Noms d'id, noms de class, noms de fichiers, dossiers, URL, texte dans l'image et témoignage du corps sont ailleurs que dans les commentaires.
| Ce qui a été supprimé | Ce qui reste | Ce qu'il faut vérifier |
|---|---|---|
| Commentaires XML | id et class | Termes internes restants |
| Notes de travail | Nom de fichier | Nom de dossier ou date restants |
| Texte de brouillon | Texte affiché | Texte visible dans l'image |
| URL interne | URL de référence | Liens externes ou noms d'environnement |
Supprimer les commentaires est important, mais ne suffit pas.
Pour l'anonymat, vérifiez où les informations ont pu se déplacer et rester.
Attention particulière aux fichiers collaboratifs
Les SVG ou HTML créés à plusieurs gardent facilement commentaires et texte caché.
Noms de responsables, commentaires de revue, demandes de correction, termes internes et noms de clients peuvent apparaître pendant le travail.
| Information restante dans le travail collaboratif | Exemple | Attention |
|---|---|---|
| Nom de responsable | reviewed by A | Nom personnel restant |
| Note de correction | pour le client XX | Client ou organisation visible |
| Abréviation interne | first-team-only | Compris par les internes |
| Ancienne proposition | Ancien titre, ancien logo | Information que l'on croyait supprimée |
Pour publier un fichier collaboratif, vérifiez tout le fichier, pas seulement votre partie.
L'important n'est pas « je ne l'ai pas mis », mais « est-ce que cela reste dans le fichier public ».
Si la publication est un zip ou un dossier, vérifiez tous les fichiers inclus.
Un seul SVG propre ne suffit pas si un ancien HTML ou README inclus garde des commentaires.
Résumé
Le texte caché et les commentaires XML sont des informations qui restent dans le fichier même sans apparaître à l'écran.
Dans les fichiers SVG, HTML et XML, notes de travail, noms, entreprises, URL internes, brouillons et noms de projet peuvent rester.
Avant publication, vérifiez non seulement l'apparence, mais aussi le contenu comme texte.
Ne jugez pas qu'un outil d'optimisation suffit à rendre le fichier sûr.
Pour l'anonymat, il est important de vérifier à la fois l'information affichée et l'information lisible dans le fichier.
Outils liés
ExifTool
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://exiftool.org/
MAT2
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.