Como revisar URLs manualmente
URLs carregam mais informações do que aparentam.
Elas podem conter não apenas o local de uma página, mas também termos de busca, IDs de publicidade, códigos de referência, informações de campanha e identificadores emitidos individualmente.
Ao publicar anonimamente, mesmo que você verifique com cuidado o texto e as imagens, colar uma URL como está pode vazar pistas por outro lugar.
A revisão de URLs pode parecer uma tarefa difícil, mas iniciantes também conseguem fazê-la se definirem a ordem de verificação.
Este artigo organiza os passos básicos para revisar URLs manualmente. Aqui, tratamos de onde olhar com os próprios olhos antes de depender de uma ferramenta dedicada.
Primeiro, dividir a URL em partes
Ao revisar uma URL, não tente ler tudo de uma vez.
Primeiro, divida-a em partes.
| Parte | O que observar | Ponto de atenção |
|---|---|---|
| Domínio | De qual site se trata | Prestar atenção a caracteres parecidos e domínios falsos |
| Caminho | De qual página se trata | Ver se não é uma tela de administração, edição ou pré-visualização |
| Consulta | Valores depois de ? | Termos de busca, IDs e informações de rastreamento podem permanecer |
| Fragmento | Valores depois de # | Em requisições HTTP comuns, não é enviado ao servidor, mas pode ficar visível para a pessoa com quem você compartilha ou para processos dentro da página |
| URL encurtada | Se é uma URL de redirecionamento | O destino final fica oculto |
Só essa divisão já evita muitos erros.
Em especial, evite compartilhar sem olhar o que vem depois de ?.
Verificar o domínio
A primeira coisa a observar é o domínio.
O domínio mostra a qual site o navegador se conecta.
Quando uma URL encurtada ou um redirecionamento é usado, o domínio visível e o destino final da conexão podem ser diferentes.
| Verificação | Motivo |
|---|---|
| Se é um domínio desconhecido | Ver se pode ser um site falso ou serviço intermediário |
| Se há caracteres parecidos | Evitar um domínio diferente feito para parecer verdadeiro |
| Se é uma URL encurtada | Porque a URL final precisa ser verificada |
| Se é uma tela de login ou administração | Para não compartilhar uma página pessoal |
Em anonimato, é importante entender o destino antes de abri-lo.
Se você abrir uma URL encurtada desconhecida em um navegador usado com uma conta de nome real, ela pode se ligar a cookies ou ao estado com login.
Olhar o que vem depois de ?
Em seguida, verifique a string de consulta.
Nos valores depois de ?, misturam-se valores necessários para exibir a página e valores usados para rastreamento ou identificação.
| Valor | Como ler | Julgamento |
|---|---|---|
| utm_source, utm_campaign | Parâmetros UTM | Muitas vezes podem ser removidos |
| gclid, fbclid | IDs de clique de publicidade ou redes sociais | Muitas vezes podem ser removidos |
| ref, affiliate | Referência ou origem afiliada | Verificar o conteúdo |
| q, search | Termos de busca | O conteúdo buscado permanece |
| id, page | ID de página ou produto | Pode ser necessário para a exibição |
| token, session, sid | Estado temporário ou valores próximos de autenticação | Preferir não compartilhar |
O ponto importante aqui não é apagar tudo.
Se você apagar valores necessários para a exibição, vira outra página.
Por outro lado, se valores de rastreamento permanecerem, eles se tornam pistas sobre a origem do compartilhamento ou o caminho do clique.
Remover um por um e verificar
Na revisão de URLs, é melhor não apagar tudo de uma vez.
Ao remover os valores um por um, você entende quais valores são necessários e quais são desnecessários.
| Passo | Ação | Motivo |
|---|---|---|
| 1 | Guardar a URL original | Para poder voltar a ela |
| 2 | Remover um valor que pareça rastreamento | Para facilitar a verificação do efeito |
| 3 | Abrir novamente | Ver se a mesma página aparece |
| 4 | Verificar em um navegador ou perfil separado | Reduzir o efeito do estado com login |
| 5 | Observar os valores desconhecidos restantes | Verificar se restam IDs individuais ou valores de autenticação |
Se a mesma página abrir, esse valor pode ser desnecessário para o compartilhamento.
No entanto, mesmo que a aparência da página seja a mesma, o site pode fazer medições diferentes no lado do servidor. Não é possível fazer um julgamento completo, mas reduzir parâmetros desnecessários tem sentido.
Procurar termos de busca e informações pessoais
Termos de busca e conteúdo inserido podem permanecer diretamente em uma URL.
Tenha atenção especial a páginas de resultados de busca, páginas de tradução, mapas, formulários, sites de reserva e páginas de contato.
| Informação que costuma permanecer | Exemplo | Ponto de atenção |
|---|---|---|
| Termos de busca | q, query, keyword | Interesses ou alvos de investigação ficam visíveis |
| Nomes de lugares | location, place | Lugares de rotina ou destinos ficam visíveis |
| Nomes | name, user | Indicam a própria pessoa ou pessoas relacionadas |
| na-se um identificador direto | ||
| Números | order, ticket, reservation | Podem ter relação com uma solicitação ou compra |
Se houver informações pessoais dentro da URL, apagá-las do texto não basta.
Verifique a string da URL com tanto cuidado quanto o texto da publicação.
Verificar URLs encurtadas e redirecionamentos
URLs encurtadas dificultam a revisão manual.
Porque a URL final não pode ser vista apenas pela aparência.
Antes de abrir uma URL encurtada, verifique para onde ela se expande. Se não for possível expandir, ou se o remetente for desconhecido, também pode ser necessário decidir não abri-la.
Se você usar um serviço online de expansão ou um serviço de verificação de URLs, essa URL, o horário da verificação, o IP de origem e o User-Agent podem ser passados para esse serviço. Em links de alto risco, inclua o próprio ato de inserir a URL em um serviço externo no seu julgamento de confiança.
Quando há vários redirecionamentos, serviços intermediários podem observar o horário do clique, o endereço IP, o User-Agent e o referenciador.
Uma URL encurtada não é simplesmente uma URL curta.
É um mecanismo que adiciona um novo ponto intermediário.
Limites da revisão manual
A revisão manual tem limites.
Mesmo que você remova parâmetros visíveis na URL, cookies, estado com login, impressão digital do navegador e registros de acesso permanecem separadamente.
Além disso, de fora não é possível saber por completo como um site registra informações internamente.
Por isso, a revisão de URLs não é uma solução universal.
Ainda assim, apenas reduzir valores evidentes de rastreamento e informações pessoais visíveis na URL já diminui bastante os erros antes da publicação.
Quando houver dúvida
É natural ter dúvidas durante a revisão de URLs.
Nem todo serviço usa nomes de parâmetros fáceis de entender. Olhando de fora, pode não ser claro se id é um ID de artigo, um ID de usuário ou um ID de campanha.
Quando houver dúvida, julgue da seguinte forma.
| Situação de dúvida | Julgamento a tomar | Motivo |
|---|---|---|
| A página muda ao remover | Manter esse valor ou procurar outra forma de compartilhar | Pode ser um valor necessário para a exibição |
| A mesma página abre após remover | Tratar a URL removida como candidata | O valor pode ser desnecessário para compartilhar |
| token ou session permanece | Não compartilhar | Pode ter relação com estado individual ou autenticação |
| Só existe URL encurtada | Verificar o destino expandido | Para entender o destino e os intermediários |
| Não é possível julgar | Adiar a publicação | Para não tratar algo não verificado como seguro |
O importante para o anonimato é não avançar sem entender.
Uma URL pode parecer fácil de corrigir depois, mas, após a publicação, pode permanecer em capturas de tela, arquivos e citações.
Alguns minutos de verificação antes da publicação são um trabalho muito mais leve do que uma longa resposta depois da publicação.
Separar a revisão de URLs de outras verificações
Revisar a URL não torna a publicação inteira segura.
A revisão de URLs é uma parte da verificação pré-publicação.
| Outra coisa a verificar | Motivo para observar |
|---|---|
| Texto | Permanecem nomes próprios, linha do tempo, estilo de escrita e lugares de rotina |
| Imagens | Permanecem fundos, reflexos, rostos e informações de localização |
| Arquivos | Permanecem autoria, histórico de edição e metadados |
| Conta | Liga-se ao estado com login, ao perfil e a publicações anteriores |
| Ambiente de comunicação | Endereço IP, DNS e horário de acesso têm relação |
Mesmo que você limpe uma URL, publicar por uma conta de nome real quebra o anonimato.
Por outro lado, mesmo que o caminho de comunicação seja ocultado, se um ID individual permanecer na URL, ele se torna material de correlação.
A revisão de URLs é uma tarefa independente, mas pense nela dentro do anonimato como um todo.
Resumo
Ao revisar uma URL manualmente, observe separadamente o domínio, o caminho, a consulta, o fragmento e a URL encurtada.
Em especial, o que vem depois de ? pode incluir termos de busca, parâmetros de rastreamento, IDs de clique, códigos de referência e IDs individuais.
Julgue separadamente os valores que podem ser removidos e os valores necessários para exibir a página.
Se houver um valor desconhecido, remova os valores um por um, reabra a página e verifique também em um navegador separado, outro perfil e sem login.
A revisão de URLs sozinha não completa o anonimato.
No entanto, uma URL faz parte do texto de uma publicação. Se você relê o texto, também precisa reler a URL.