Как очистить URL перед тем, как делиться им
Перед тем как делиться URL, нужно проверить сам URL так же, как текст или изображения.
В URL могут оставаться параметры отслеживания, поисковые слова, персональная информация, ID клика, реферальные коды, сокращенные URL и индивидуальная информация из состояния входа в аккаунт.
Даже если вы публикуете из анонимного аккаунта, информация, оставшаяся в URL, может стать еще одним признаком.
В этой статье разобран практический порядок очистки URL перед тем, как делиться ими. Сам механизм URL-трекинга рассматривается в другой статье. Здесь внимание только на том, что делать непосредственно перед публикацией.
Что такое чистый URL
Чистый URL — это URL, в котором осталась только информация, необходимая для того, чтобы им поделиться.
Это не означает короткий URL.
Даже если URL выглядит коротким, он не является чистым, если за сокращенным URL остаются параметры отслеживания. И наоборот, даже если URL немного длинный, риск может быть ниже, если в нем остался только ID, необходимый для отображения страницы.
| Состояние | Описание | Оценка |
|---|---|---|
| Только необходимый путь | URL, необходимый для открытия страницы | Удобнее делиться |
| С UTM | Остается информация об источнике или кампании | Кандидат на удаление |
| С ID клика | Остается информация о клике из рекламы или соцсетей | Кандидат на удаление |
| С token | Может указывать на временный доступ или индивидуальное состояние | Сначала рассмотреть отказ от того, чтобы делиться |
| Сокращенный URL | Назначение и промежуточный узел трудно увидеть | Развернуть и проверить |
Цель очистки не в том, чтобы сделать URL красивым.
Цель в том, чтобы уменьшить контекстную информацию, не нужную для того, чтобы поделиться ссылкой. Однако если для разворачивания сокращенного URL использовать внешний сервис, URL, который вы проверяли, и время проверки могут остаться у этого сервиса. Для URL с высоким риском не вводите их как есть во внешние сервисы; отдавайте предпочтение предпросмотру в браузере, доверенной локальной среде или официальной публичной ссылке от источника.
Основной порядок перед тем, как делиться
Перед тем как делиться URL, проверяйте его в следующем порядке.
| Порядок | Действие | Причина |
|---|---|---|
| 1 | Сразу после копирования посмотреть URL целиком | Не пропустить лишние значения |
| 2 | Проверить все после ? | Посмотреть, есть ли параметры |
| 3 | Удалить параметры отслеживания | Уменьшить UTM и ID кликов |
| 4 | Снова открыть очищенный URL | Проверить, отображается ли та же страница |
| 5 | Посмотреть в состоянии выхода из аккаунта или в другом браузере | Проверить, не является ли это персональным URL |
| 6 | Если URL сокращенный, развернуть его | Проверить конечный URL и промежуточный узел |
Если выполнять этот порядок каждый раз, ошибок из-за URL становится меньше.
Особенно внимательно относитесь к URL, скопированным из электронной почты, рекламы в соцсетях, результатов поиска, сервисов перевода, карт, сайтов бронирования и облачных ссылок общего доступа. В проверку также входит то, что неопубликованные материалы, внутренние URL и URL с персональной информацией не следует вводить во внешние сервисы проверки или разворачивания URL.
Параметры, которые становятся кандидатами на удаление
Значения, которые перед тем, как делиться ссылкой, становятся кандидатами на удаление, в некоторой степени предсказуемы.
| Параметр | Значение | Обращение |
|---|---|---|
| utm_source, utm_medium, utm_campaign | Источник или кампания | Часто можно удалить |
| gclid, fbclid, msclkid | ID клика из рекламы или соцсетей | Часто можно удалить |
| ref, source, affiliate | Источник перехода или реферал | Проверить содержание |
| spm, igshid и т. п. | Значения отслеживания, специфичные для сервиса | Иногда можно удалить |
| token, session, sid | Индивидуальное состояние или значения, близкие к аутентификации | Сначала рассмотреть отказ от того, чтобы делиться |
Когда удаляете параметры отслеживания, проверяйте, отображается ли страница так же.
Если после удаления отображается та же страница, значение, вероятно, было не нужно для того, чтобы поделиться URL.
Если после удаления страница меняется, это значение может быть информацией, необходимой для отображения.
URL, которыми не следует делиться
Некоторые URL лучше не очищать, а вообще не делиться ими.
| Состояние URL | Причина |
|---|---|
| URL, который открывается только при входе в аккаунт | Это может быть персональный экран, который другие не увидят |
| URL редактирования, администрирования или предпросмотра | Он указывает на экран, не предназначенный для публикации |
| URL, содержащий token или session | Может быть близок к временному доступу или аутентификации |
| URL, содержащий персональную информацию | Могут утечь имена, адреса электронной почты, номера бронирования и похожие данные |
| Административный URL облачного общего доступа | Может быть связан с правами или информацией о владельце |
Для таких URL лучше искать официальную публичную страницу или ссылку для общего доступа, а не пытаться делиться ими после удаления параметров.
Для анонимности важно не считать безопасным URL, в котором вы сомневаетесь.
Проверить в другой среде
После очистки URL по возможности откройте его заново в другой среде.
В привычном браузере страница может быть видна только из-за cookies или состояния входа в аккаунт.
| Метод проверки | Что становится понятно |
|---|---|
| Открыть в другом браузере | Зависит ли URL от ваших обычных cookies |
| Открыть после выхода из аккаунта | Видна ли страница другим людям |
| Открыть в приватном окне | Можно проверить с меньшей зависимостью от сессии |
| Проверить на другом устройстве | Не является ли ссылка зависимой от устройства или приложения |
Однако приватное окно не является технологией анонимизации.
Оно помогает разделить работу с cookies и историей, но сайт назначения все равно получает обращение.
Что остается даже после очистки
Даже если очистить URL, не все риски исчезают.
Сайт назначения получает, в частности, исходный IP-адрес, User-Agent, cookies, состояние входа в аккаунт и время доступа.
Кроме того, корреляция может выполняться по тексту публикации, изображениям, файлам или времени публикации.
Очищать URL важно, но сама по себе очистка не завершает анонимность.
URL — один из пунктов проверки перед публикацией.
Предосторожности меняются в зависимости от места, где вы делитесь
Даже для одного и того же URL риск меняется в зависимости от того, где вы им делитесь.
| Место публикации | На что обратить внимание |
|---|---|
| Публичные соцсети | Его может увидеть кто угодно, он остается в поиске и архивах |
| Ограниченное сообщество | Он связывается с отношениями внутри участников и временем публикации |
| DM | Он остается в среде собеседника или на скриншотах |
| Контакт с журналистами или для сообщения о нарушениях | Он связывается со временем отправки, каналом передачи и содержанием материалов |
| Внутри компании или школы | Он связывается с административными журналами и информацией аккаунта |
URL, вставляемый в публичные соцсети, проверяйте исходя из того, что позже он может широко распространиться.
DM не означает безопасность. Собеседник может сделать скриншот, а на стороне оператора сервиса могут остаться записи отправки.
В контексте журналистики или внутреннего сообщения о нарушениях важен не только URL, но и то, из какой среды он был отправлен, когда он был отправлен и кому он был отправлен.
Разделять рабочие URL и публичные URL
URL, открытый во время работы, не обязательно предназначен для публикации.
Результаты поиска, результаты перевода, предпросмотр, экраны редактирования, облачные административные экраны и персональные страницы в состоянии входа в аккаунт — это рабочие URL.
| Тип URL | Решение о публикации | Причина |
|---|---|---|
| Публичная страница статьи | Кандидат для публикации | Часто это URL для широкой аудитории |
| Страница результатов поиска | Обращаться осторожно | Остаются поисковые слова и условия |
| Страница результатов перевода | Обращаться осторожно | Остается введенное содержание или целевой URL |
| Экран редактирования или предпросмотра | Не делиться | Не предназначен для публикации |
| Облачный административный экран | Не делиться | Связан с правами или информацией о владельце |
Если делитесь, по возможности используйте публичный URL.
Вместо того чтобы форматировать и публиковать рабочий URL, безопаснее искать официальную публичную страницу, кнопку общего доступа или постоянную ссылку.
Итоги
Очистить URL перед тем, как делиться им, значит уменьшить информацию отслеживания и индивидуальную информацию, не нужную для того, чтобы делиться.
Проверяйте UTM, ID кликов, реферальные коды, сокращенные URL, поисковые слова, token, session и похожие значения.
Удаляйте значения, которые можно удалить, а после удаления проверяйте, открывается ли та же страница.
Для URL, видимых только при входе в аккаунт, экранов редактирования, URL предпросмотра и URL с персональной информацией сначала рассматривайте отказ от того, чтобы делиться, а не очистку.
URL может казаться чем-то находящимся вне текста, но на практике он является частью содержания публикации.
Если вы делитесь анонимно, обязательно перечитайте URL перед публикацией.
Связанные инструменты
OSINT Framework
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.