匿名共享文件时的注意事项
需要匿名性的活动中,经常会发生文件共享。
传单、图片、视频、声明、参与指南、名单、会场地图、会计资料、拍摄数据。共享这些内容时,与匿名性和参与者安全有关的信息也会一起移动。
即使以为自己是匿名共享,身份或关系也可能从文件名、创建者、云端账号、共享历史、元数据、联系人同步中显现出来。
文件共享不仅要确认内容,也要确认路径。
文件中留下的信息
文件会留下内容之外的信息。
如果是图片,拍摄时间和位置信息会成为问题;如果是文档,创建者和修改历史会成为问题;如果是 PDF,注释和创建软件会成为问题;如果是视频,声音和背景会成为问题。
| 文件 | 要确认的信息 |
|---|---|
| 图片 | GPS、拍摄时间、背景、反射 |
| 视频 | 脸、声音、背景音、拍摄地点 |
| 创建者、注释、嵌入信息 | |
| Office 文档 | 修改历史、评论、创建者 |
| 压缩文件 | 内部文件名、文件夹结构 |
共享前,要确认文件名和元数据。
在文件确认中,重要的是不要只按扩展名判断。 同样是 PDF,由图片生成的 PDF、从 Office 文档导出的 PDF、扫描得到的 PDF,残留信息都不同。 同样是图片,手机拍摄的照片、截图、加工后的图片、从社交媒体保存的图片,确认点也会改变。
另外,文件名是容易被忽略的信息。 不仅是 实名_申请书.pdf 这种直接名称,也可能包含项目名、部门名、日期、活动名、终端保存路径。 要确认共享对象能看到的文件名、压缩文件内的文件夹名,以及云端上的显示名。
云端共享的风险
云端共享很方便,但用于活动的匿名共享时需要注意。
实名账号、所有者姓名、共享对象、查看历史、编辑历史、评论可能会被看到。
| 云端信息 | 风险 |
|---|---|
| 所有者姓名 | 会看到实名或平时使用的账号 |
| 共享对象 | 会知道谁和谁有联系 |
| 查看历史 | 会留下谁在何时打开过 |
| 编辑历史 | 会看到创建者和协作者 |
| 评论 | 会留下角色和内部对话 |
基本原则是,不要从平时使用的实名云端发送想匿名共享的文件。
在云端共享中,别人能看到的不只是文件本身,也包括共享页面周边的信息。 包括所有者的姓名、图标、电子邮件地址、组织名、共享文件夹名、其他文件、评论、编辑历史、查看历史。 即使已经为匿名用途处理了文件,只要从实名云端共享,就会通过所有者信息连接起来。
尤其要注意协作编辑功能。 谁编辑了、何时编辑了、留下了哪些评论,可能会保留在历史中。 在活动用文档中,编辑前的文字和删除过的评论也可能被看到。
缩小共享对象
文件共享时,要把能够查看的人限制在必要范围内。
“知道链接的所有人”设置很方便,但链接一旦被转发,就会变得难以控制。
| 设置 | 注意点 |
|---|---|
| 知道链接的所有人 | 被转发后会扩散 |
| 可编辑 | 内容会被改写 |
| 仅查看 | 截图和保存难以阻止 |
| 无期限链接 | 之后会被再次使用 |
| 共享文件夹 | 无关文件也可能被看到 |
共享后,不再需要的链接也要停用。
活动结束后留下的共享链接,会在之后成为风险。
共享设置要在公开前和公开后都确认。 共享前,查看谁能看到、谁能编辑、能否下载、链接被转发后会怎样。 共享后,停用不再需要的链接,减少共享对象,整理旧文件。
| 阶段 | 要确认的事项 |
|---|---|
| 共享前 | 文件本体、元数据、共享对象、权限 |
| 共享中 | 查看者、编辑者、评论、能否下载 |
| 共享后 | 链接停用、文件夹整理、原始数据删除 |
| 再次共享时 | 是否还留下旧链接或旧版本 |
选择适合匿名共享的方法
需要较高匿名性时,考虑比普通云端共享更重视匿名性的方法。
OnionShare 是可用于通过 临时共享和接收文件的工具。想避开实名云端的所有者姓名和共享历史时,它会成为候选,但文件内容、元数据、向对方传递地址的方式需要另行确认。另有文章会详细介绍。
URL : https://onionshare.org/
但是,即使使用 OnionShare,文件元数据和对方的处理方式仍会留下。
不仅要看工具,也要确认共享的文件本身。
OnionShare 这类工具,在思考共享路径时可以成为有效选项。 但是,在使用工具之前,要先决定共享目的。 是交给一个人,还是分发给多人;是从对方接收,还是临时共享或长期保存,适合的方法都会改变。
另外,在匿名共享中,对方侧的处理方式也很重要。 如果对方重新上传到实名云端、截图、不改文件名就转发、保留原始数据,只靠发送方一侧无法完成安全处理。 文件共享把发送方和接收方的使用方式连接在一起。
分开原始数据和公开版
活动中使用的文件,要把原始数据和公开版分开。 原始数据中可能留下编辑历史、图层、未处理的脸、位置信息、内部评论、创建者信息。 公开版中只保留必要内容,并确认元数据、文件名、背景信息。
如果把原始数据一直放在共享文件夹里,制作加工版的意义会变弱。 要决定谁持有原始数据、保存在哪里、何时删除;如果需要作为证据留存,则由谁管理。
共享前检查清单
共享文件前,要把内容、格式、路径、对象、期间分开确认。 只要有一项含糊不清就共享,之后就很难收回。
| 确认项目 | 查看内容 |
|---|---|
| 内容 | 是否有个人姓名、地址、脸、内部信息、相关人员信息 |
| 元数据 | 是否有创建者、拍摄时间、GPS、编辑历史 |
| 文件名 | 是否出现实名、部门名、活动名、日期 |
| 共享路径 | 是否使用了实名云端或平时使用的账号 |
| 共享对象 | 是否设置为只传达给必要的人 |
| 共享期间 | 不再需要后是否能停用链接 |
重要文件的这项确认,值得由多人进行。 创建者本人已经习惯背景或文件名,有时会漏看危险信息。 但是,增加确认人员本身也会扩大共享范围,因此要限定在可信任的对象内。
总结
匿名共享文件时,要确认文件内容、文件名、元数据、共享路径、共享对象。
图片、视频、PDF、Office 文档、压缩文件各自都有不同线索。
在云端共享中,会留下所有者姓名、共享对象、查看历史、编辑历史、评论。
用于活动的匿名共享中,重要的是不要使用实名云端、缩小共享对象、停用不再需要的链接。
文件共享,是把活动信息和相关人员一起移动的行为。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/