SVGO e verificação manual de XML
Antes de publicar um SVG, às vezes se usa uma ferramenta de otimização como SVGO.
Isso serve para reduzir atributos desnecessários, comentários e metadados, além de diminuir o tamanho do arquivo.
É um trabalho útil.
Mas, na verificação de anonimato, não se pode dizer "passou pelo SVGO, então está seguro". A informação que a ferramenta remove é diferente da informação que uma pessoa precisa olhar.
Este artigo organiza o sentido de usar SVGO e o motivo para confirmar manualmente o XML depois.
O que é SVGO
SVGO é uma ferramenta para otimizar arquivos SVG.
Ela é usada para remover atributos e metadados desnecessários e deixar o SVG mais leve. No repositório oficial é possível verificar uso, plugins e opções de configuração.
URL: https://github.com/svg/svgo
Aqui tratamos o uso executado em ambiente local, depois de confirmar informações oficiais. Ao enviar um SVG para um serviço online de otimização, informações dentro do XML e o nome do arquivo podem ser transmitidos externamente.
SVGO é útil, mas não é uma ferramenta dedicada de anonimização.
Seu objetivo principal é otimização. Ele não julga nem apaga todas as informações relacionadas ao anonimato.
O que a ferramenta pode reduzir
Dependendo da configuração do SVGO, comentários, metadados, atributos desnecessários, elementos vazios e outros itens podem ser reduzidos.
| O que pode ser reduzido | Descrição | Cuidados |
|---|---|---|
| Comentários | Remove comentários XML | Depende da configuração |
| Metadados | Elemento metadata etc. | Pode não ser toda informação |
| Atributos desnecessários | Atributos não necessários para exibição | id e class podem permanecer |
| Elementos vazios | Elementos não usados | Não julga toda informação oculta |
| Tamanho do arquivo | Reduz escrita excedente | Não é anonimato em si |
Otimização é uma etapa importante antes da publicação.
Mas otimização e anonimização não são a mesma coisa.
Por que a verificação manual é necessária
Ferramentas não julgam completamente o significado das strings.
Por exemplo, sem contexto não dá para saber se um ID como project-alpha é nome de projeto interno ou apenas ID de forma. O mesmo vale para um nome de camada como school-map: sua relevância para anonimato depende do conteúdo da postagem.
| Informação que pode permanecer | Por que uma pessoa deve olhar |
|---|---|
| Nomes id e class | É preciso julgar se são termos internos ou nomes de caso |
| Elemento text | Confirmar se é texto visível ou oculto |
| Nome de arquivo | Fica fora do processamento da ferramenta |
| Significado dentro da imagem | Fundo e logotipos não são removidos pela otimização |
| Informação contextual | Pode ser compreensível apenas a pessoas relacionadas |
No anonimato, observa-se não só a estrutura do arquivo, mas também seu significado.
Essa verificação de significado é feita, no fim, por uma pessoa.
Fluxo de verificação manual
Depois de otimizar com SVGO ou ferramenta semelhante, abra o SVG em um editor de texto.
Verifique nesta ordem.
| Ordem | O que verificar | Motivo |
|---|---|---|
| 1 | Nome de arquivo | Nome real, caso ou data aparece |
| 2 | Elemento metadata | Autor ou ferramenta pode permanecer |
| 3 | Comentários | Notas de trabalho ou informação interna permanecem |
| 4 | Elemento text | Texto invisível ou anterior à remoção permanece |
| 5 | id e class | Nomes de camada ou termos internos permanecem |
| 6 | URL | Links externos ou ambiente interno aparecem |
Pesquisar apenas seu nome não basta.
Verifique também empresa, escola, departamento, nome de projeto, email, lugar, nome de usuário antigo e abreviações internas.
A verificação visual também é necessária
Mesmo com XML limpo, informações visíveis como imagem podem permanecer.
Logotipos, placas, mapas, emblemas escolares, crachás, nomes de usuário, notificações de tela e designs próprios de gráficos não desaparecem com otimização.
| Informação visual | Risco que permanece | O que verificar |
|---|---|---|
| Logotipo | Organização ou serviço aparece | Substituir se necessário |
| Mapa | Lugares de rotina ou local aparecem | Reduzir granularidade |
| UI de tela | Conta ou notificação aparece | Verificar até as bordas |
| Gráfico próprio | Conecta-se a materiais passados | Cuidado com reutilização de template |
Em SVG, confirme tanto o conteúdo como XML quanto a aparência como imagem.
Um lado só é insuficiente.
Como escolher entre SVG e PNG
Quando anonimato é necessário, converter para PNG ou formato semelhante em vez de publicar SVG também pode ser uma opção.
Ao transformar em PNG, informações como comentários XML e IDs basicamente deixam de aparecer.
Mas mesmo em PNG as informações visíveis como imagem permanecem. Além disso, a imagem convertida pode receber metadados.
| Formato | Vantagem | Cuidados |
|---|---|---|
| Publicar como SVG | Fica limpo ao ampliar e é fácil de editar | Verificar informações dentro do XML |
| Publicar após SVGO | Reduz escrita excedente | Verificação manual continua necessária |
| Publicar como PNG | Reduz informação XML | Ver informações dentro da imagem e metadados |
O melhor formato muda conforme objetivo e risco.
Se não há necessidade de publicar um diagrama editável, PNG também é uma opção.
Gerenciar arquivo de configuração e original
Ao usar SVGO, pense não só no SVG processado, mas também no arquivo de configuração e no original.
Se o arquivo original for compartilhado na mesma pasta, informações anteriores à otimização podem ir junto. O arquivo de configuração também pode conter nome de projeto ou comentários internos.
| Alvo | O que verificar | Motivo |
|---|---|---|
| SVG original | Se informações não processadas permanecem | Pode ser compartilhado por engano |
| SVG de saída | O que permanece depois da otimização | É o material final publicado |
| Arquivo de configuração | Comentários internos e caminhos | Pode entrar no material compartilhado |
| Nome de pasta | Nome de caso ou organização | Aparece em compartilhamento zip |
| README | Notas de trabalho ou responsáveis | Pode ser incluído na publicação |
No anonimato, nem sempre basta olhar o arquivo processado.
Confirme se a pasta ou o zip enviado não mistura original e notas.
Mesmo automatizando, olhar no final
Se o mesmo procedimento de SVGO é usado sempre, a automação ajuda.
Mas automação não elimina a verificação. Ela é uma preparação para a confirmação humana final.
Depois do processamento automático, abra o conteúdo em editor de texto, exiba no navegador e verifique nome de arquivo e arquivos anexos.
Em arquivos de alto risco, considere pedir revisão a outra pessoa. Mas isso também significa entregar o arquivo a ela, então escolha cuidadosamente o canal de consulta.
Se o material publicado não for arquivo único, mas zip ou pasta, confirme não só o SVG de saída, mas também os itens incluídos.
SVGs antigos, dados originais, notas de trabalho e configurações misturados vazam informações por outro lugar, separado do arquivo otimizado.
Resumo
SVGO é uma ferramenta útil para otimizar SVG.
Ela pode reduzir comentários, metadados e atributos desnecessários.
Mas SVGO não é uma ferramenta dedicada de anonimização. Termos internos, id, class, elemento text, nome de arquivo e informações visíveis como imagem precisam ser verificados por uma pessoa conforme o contexto.
Antes de publicar, depois do processamento por SVGO ou ferramenta semelhante, abra o conteúdo como XML e confirme.
No anonimato, o importante não é ter processado com uma ferramenta, mas ver o que permanece no resultado final.
Ferramentas relacionadas
ExifTool
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://exiftool.org/
MAT2
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.