Verificação de metadados em SVG
SVG é um arquivo de imagem, mas por dentro é texto.
Diferente de imagens que parecem PNG ou JPEG, um arquivo SVG pode manter como XML formas, letras, comentários, nomes de camadas, informações da ferramenta, IDs e descrições.
Mesmo que a aparência pareça sem problemas, ao abrir o arquivo como texto podem permanecer nome do autor, nome da empresa, nome do projeto, texto original e informações da ferramenta de edição.
Se você vai publicar anonimamente uma imagem ou diagrama em SVG, precisa tratá-lo não como "imagem", mas como "arquivo de texto que será publicado".
Este artigo organiza que informações podem permanecer em SVG e o que verificar antes da publicação.
SVG é uma imagem cujo conteúdo pode ser lido
SVG é a sigla de Scalable Vector Graphics, um formato que representa imagens vetoriais em XML.
Círculos, linhas, textos, paths, cores e posições são escritos como tags e atributos. Por isso, o navegador pode exibir como imagem, mas um editor de texto também pode ler o conteúdo.
| Elemento dentro do SVG | Informação que pode permanecer | Cuidados para anonimato |
|---|---|---|
| Elemento text | Texto dentro da imagem | Texto invisível também pode permanecer |
| Elemento metadata | Autor, ferramenta, descrição | Ambiente de criação fica visível |
| Comentário | Nota de trabalho, nome | Passa despercebido por não aparecer visualmente |
| id e class | Nome de camada, nome de peça | Projeto ou termo interno permanece |
| Nome de arquivo | Nome, caso, data | Aparece como está no compartilhamento |
O risco do SVG é que aparência e conteúdo não coincidam.
Um texto que parece ter sido apagado na tela pode permanecer dentro do XML.
Informações de ferramentas de design podem permanecer
SVGs são frequentemente exportados por ferramentas de design ou desenho.
Nesse processo, podem ficar nome da ferramenta, configurações de exportação, nomes de camadas, nomes de objetos e nomes de templates.
| Informação que permanece | Exemplo | Cuidados |
|---|---|---|
| Ferramenta de criação | Illustrator, Figma, Inkscape etc. | Ambiente de criação pode ser inferido |
| Nome de camada | client-logo, school-map | Nome de caso ou organização aparece |
| ID de objeto | user-name, draft-title | Uso original fica visível |
| Comentário | TODO, nota de trabalho | Informação interna permanece |
| Nome de template | Template com nome da empresa | Conecta-se à afiliação |
O nome da ferramenta por si só pode não ser um grande problema.
Mas, se ficam nome de empresa, escola, caso, projeto interno ou usuário, isso se conecta diretamente ao anonimato.
Cuidado com texto invisível
Em SVGs, textos invisíveis ou pequenos demais podem permanecer.
Por exemplo, apenas mover um nome para fora da tela, torná-lo transparente ou ocultar a camada pode deixar texto no XML.
| Estado | Aparência | Conteúdo |
|---|---|---|
| Texto transparente | Não aparece | Permanece como elemento text |
| Texto fora da tela | Não é exibido | Permanece com coordenadas |
| Camada oculta | Não aparece | Informações da camada podem permanecer |
| Texto pequeno | Difícil de notar | Pode ser lido por zoom ou verificação XML |
Mesmo que pareça não haver problema como imagem, confirme o conteúdo como texto.
Em SVGs que exigem anonimato, é importante não publicar apenas com verificação visual.
O que verificar
Antes de publicar SVG, verifique estas informações.
| Item de verificação | Motivo para olhar |
|---|---|
| Nome do autor | Nome pessoal ou de conta pode permanecer |
| Nome de empresa ou escola | Afiliação ou caso aparece |
| Nome de camada e ID | Nome de projeto interno pode permanecer |
| Comentário | Nota de trabalho ou informação anterior à remoção permanece |
| Texto invisível | Letras que não aparecem visualmente permanecem |
| Nome de arquivo | Aparece como está ao compartilhar |
O método é simples.
Abra o SVG em um editor de texto e pesquise nomes, emails, empresas, escolas, nomes de caso, lugares, comentários e strings desnecessárias.
Uso de ferramentas de otimização de SVG
Há ferramentas de otimização para remover metadados e atributos desnecessários de SVG.
SVGO é uma ferramenta representativa para otimizar arquivos SVG. No repositório oficial é possível verificar o que ela remove e quais plugins existem.
URL : https://github.com/svg/svgo
Ao usar SVGO, considere o processamento com a ferramenta oficial em ambiente local. Se você envia um SVG de alto risco para um serviço de otimização na Web, strings dentro do XML e o nome do arquivo podem ser entregues externamente.
Mas passar por uma ferramenta não torna o arquivo necessariamente seguro.
As informações que permanecem mudam conforme a configuração. A ferramenta remove principalmente atributos e metadados desnecessários; ela não julga letras, fundo ou significado que aparecem na própria imagem.
Mesmo usando SVGO, a verificação final deve ser humana.
Converter para PNG torna seguro?
Ao converter SVG para uma imagem raster como PNG, a informação textual como XML basicamente deixa de aparecer.
Mas isso não torna tudo completamente seguro.
Textos, fundos, logotipos, mapas e informações de tela exibidos como imagem permanecem. Além disso, a imagem convertida pode receber outros metadados.
| O que a conversão reduz | O que permanece | Cuidados |
|---|---|---|
| Comentários XML | Texto visível na imagem | Verificação visual é necessária |
| Nomes de camada | Logotipos e fundo | Afiliação ou lugar aparece |
| IDs de objeto | Metadados da imagem convertida | Verificar também o arquivo de saída |
Conversão é uma das medidas úteis.
Mas, depois de converter, confirme aparência e informações do arquivo.
Procedimento prático antes de compartilhar
Antes de publicar SVG, fixe um procedimento de verificação.
Primeiro copie o arquivo original e crie uma versão separada para publicação. Depois abra o conteúdo em um editor de texto e pesquise nomes e organizações. Em seguida, exiba no navegador e verifique letras e logotipos visíveis. Por fim, veja se o nome do arquivo de publicação não contém informações pessoais.
| Ordem | Tarefa | Objetivo |
|---|---|---|
| 1 | Copiar o arquivo original | Separar material pré-edição e publicação |
| 2 | Abrir como texto | Verificar informações no XML |
| 3 | Pesquisar nomes e organizações | Procurar pistas diretas |
| 4 | Exibir no navegador | Verificar vazamentos visíveis |
| 5 | Alterar nome de arquivo | Remover informação externa ao conteúdo |
Repetir o mesmo procedimento reduz esquecimentos.
Quanto mais pressa houver, mais importante é não decidir só pela aparência.
Em SVG de alto risco, rever o formato de publicação
Em denúncias de irregularidades, materiais de apuração, diagramas ligados a trabalho ou escola e imagens que exigem proteção de pessoas relacionadas, considere se é necessário publicar em SVG.
SVG é conveniente, mas por conter estrutura editável tende a manter informações. Se leitores não precisam ampliar ou editar, transformar em PNG e verificar como imagem pode ser uma opção.
Mas mesmo PNG mantém fundo e texto visível.
Mudar o formato não é para reduzir a verificação. É uma escolha que muda o tipo de informação a verificar.
Resumo
SVG é exibido como imagem, mas por dentro é texto.
Nome do autor, empresa, escola, camada, ID, comentário, texto invisível e notas de trabalho podem permanecer.
Ao publicar SVG anonimamente, não olhe apenas como imagem; abra em editor de texto e verifique o conteúdo.
Ferramentas de otimização como SVGO ajudam, mas não delegue tudo à ferramenta.
No fim, é importante verificar em conjunto texto do artigo, aparência da imagem, conteúdo XML e nome do arquivo.
Ferramentas relacionadas
ExifTool
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://exiftool.org/
MAT2
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.