分享链接前
链接往往会被看得比正文更轻。
但是,链接中包含很多信息。
搜索词、跟踪参数、推荐 ID、会话信息、云端共享的所有者、查看权限、短链接的跳转目标。即使正文什么都没有写,仅 URL 本身也可能暴露行为或账号。
如果考虑匿名性,贴出链接前要先停一下。
本文整理分享链接前应确认的信息。
URL 中包含信息
URL 不只是页面地址。
路径和查询字符串中,可能包含搜索条件、商品 ID、活动 ID、推荐代码、访问来源、用户标识符。
| URL 中包含的信息 | 例子 | 注意点 |
|---|---|---|
| 搜索词 | q=privacy 这样的值 | 会看出你在查什么 |
| 跟踪参数 | utm_source 等 | 会知道从哪里来、属于哪个活动 |
| 推荐 ID | ref= 或 invite= 等 | 会知道是谁推荐、哪个账号 |
| 商品或文章 ID | id=12345 等 | 会知道查看对象或操作对象 |
| 类似会话的值 | token= 或 session= 等 | 分享出去可能很危险 |
用于说明的 example.com 这样的字符串,应当作为示例处理,而不是实际服务介绍。
分享实际 URL 时,要确认是否有多余参数。
云端共享链接尤其要注意
云端共享链接不同于普通网页链接。
它们可能被设置成知道链接的人都能查看。所有者名、电子邮件地址、头像、文件夹名、编辑历史、评论、查看者信息,也可能会被对方看到。
| 确认项目 | 查看理由 |
|---|---|
| 所有者显示 | 实名或工作账号可能被对方看到 |
| 共享范围 | 确认是否设置为知道链接的所有人都可查看 |
| 编辑权限 | 查看对方是否能修改内容 |
| 文件夹层级 | 确认上级文件夹名是否包含个人信息或项目名 |
| 查看历史 | 确认是否记录谁打开过 |
发送链接前,用其他浏览器或其他账号打开,确认对方会怎样看到。 为了确认而打开的操作本身,也可能作为查看历史、访问日志、所有者通知、点击计量留下。
自己画面上看不到的信息,可能会显示在对方画面上。
不要直接相信短链接
短链接从外观上看不出跳转目标。
它们很方便,但在匿名性上需要注意。短链接的创建者可能能查看点击次数和时间。跳转目标中也可能带有跟踪参数。
| 短链接的问题 | 说明 |
|---|---|
| 看不到跳转目标 | 接收方难以判断会去哪里 |
| 点击计量 | 创建者或服务侧可能留下访问时间和次数 |
| 跟踪参数 | 跳转目标 URL 中可能包含识别信息 |
| 可信度 | 可能引导到恶意页面或其他页面 |
匿名活动中,应避免短链接;必要时,先确认跳转目标再分享。
短链接的详细处理,会在介绍短链接风险的文章中说明。
QR 码和邀请链接也要同样看待
链接不只是文字字符串。
QR 码、邀请链接、分享按钮、应用内的“添加好友”链接,也包含 URL 或标识符。它们只是外观变成了图片或按钮,背后同样使用链接。
| 共享形式 | 注意点 |
|---|---|
| QR 码 | 读取前很难知道跳转目标或标识符 |
| 邀请链接 | 可能看出是谁邀请、哪个群组 |
| 分享按钮 | 应用侧可能附加分享来源或账号信息 |
| 群组加入 URL | 可能与参加者列表或管理员信息连接 |
| 地图链接 | 可能包含住处、工作单位、集合地点、搜索历史 |
分享 QR 码时,事先自己读取,确认跳转目标 URL。
分享邀请链接时,要确认参加者、管理员、群组名、显示名称在对方看来是什么样。
以会在聊天中被转发为前提思考
链接一旦发出,就会被转发。
即使你信任对方,也无法控制对方的设备、聊天记录、云端备份、截图、转发到其他群组。
| 转发中会发生的事 | 对匿名性的影响 |
|---|---|
| 被贴到其他群组 | 链接会到达预想外的人手里 |
| 被截图 | 不仅 URL,发送者名和时间也会留下 |
| 被引用回复 | 语境和链接会一起保存 |
| 被云端备份 | 作为聊天记录长期留下 |
| 被转载到可搜索的地方 | 原本想限定共享的信息会变成公开信息 |
分享前,要确认“这个链接离开自己控制后是否也没有问题”。
查看链接与正文的组合
即使 URL 单独看是很弱的信息,和正文组合后也会成为强线索。
例如,正文写“附近的店”,链接却指向具体店铺页面,日常活动范围就会显现。正文写“朋友告诉我的”,却贴出带推荐 ID 的链接,交友关系或账号就可能显现。
| 组合 | 会看出什么 |
|---|---|
| 地区话题 + 店铺链接 | 日常活动范围或移动范围会被推测 |
| 带搜索词的 URL + 发帖正文 | 兴趣或调查内容会显现 |
| 推荐链接 + 账号 | 推荐来源或注册关系会显现 |
| 云端链接 + 实名所有者 | 匿名发帖和实名账号会连接起来 |
| 短链接 + 发帖时间 | 点击计量和行为时间会连接起来 |
不要只单独确认链接,要把它与正文、发帖账号、发帖时间一起看。
分享前的确认步骤
分享链接前,按下面的顺序确认。
- 查看 URL 中是否有搜索词、推荐 ID、跟踪参数
- 如果是云端链接,确认所有者名和权限
- 如果是短链接,确认跳转目标
- 与正文组合查看是否暴露日常活动范围或账号
- 在其他环境中打开,确认对方会怎样看到
如果犹豫,也可以选择不贴链接,只用文字说明服务名或文章标题。
思考贴出链接本身是否必要。
也可以选择不分享
如果要保护匿名性,有些场景最好不要贴链接。
如果链接指向特定日常活动范围、搜索词、账号、云端所有者,可以选择只用正文说明概要、制作只保留必要范围的截图,或之后整理成更安全的形式再分享。
不过,截图中也会拍入通知、时间、账号名、背景信息。避开链接并不意味着自动安全。
重要的不是使用链接、图片还是正文,而是确认对方会看到什么。
总结
链接中可能包含搜索词、跟踪参数、推荐 ID、云端共享信息、所有者名、查看权限等信息。
即使正文安全,URL 也可能暴露账号或行为。
分享前,要确认 URL 的多余部分、云端共享设置、短链接的跳转目标,以及与正文的组合。
链接不是轻量信息。
在匿名活动中,链接也和发帖正文、文件一样,是发布前检查的对象。
相关工具
OSINT Framework
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。