上传文件前
上传文件前,不只要确认内容,也要确认文件周边的信息。
图片、PDF、Office 文档、视频、音频、压缩文件中,可能留下创建者、拍摄日期时间、位置信息、编辑历史、评论、文件名。
上传后,对方可以保存、分享、分析。
所以,上传前确认很重要。
查看文件名
首先要看的是文件名。
文件名中很容易包含真实姓名、日期、地点、案件名、学校名、公司名。
| 文件名示例 | 风险 |
|---|---|
| 包含真实姓名 | 会知道创建者或本人 |
| 包含日期 | 会知道行动时间或拍摄时期 |
| 包含地点 | 会知道日常活动范围或现场 |
| 包含公司名 | 会知道所属或案件 |
| 连续编号 | 会推测出存在多个文件 |
文件名有时会原样显示给对方。
查看元数据
元数据是附属于文件的信息。
即使外观上没有显示,也可能留在文件内部。
| 文件类型 | 要确认的信息 |
|---|---|
| 图片 | GPS、拍摄日期时间、相机型号 |
| 创建者、创建软件、注释 | |
| Office 文档 | 修改历史、评论、组织名 |
| 视频 | 拍摄日期时间、位置、声音、设备信息 |
| 音频 | 录音环境、背景音、创建信息 |
元数据的详细确认方法,将在另一篇文章中处理。
这里重要的是,不要只凭外观判断。
也要确认内容
即使删除了元数据,如果文件内容中仍然留下信息,也很危险。
照片背景、PDF 正文、视频声音、Office 文档评论、压缩文件中的文件夹名。这些信息会以看得见的形式留下。
| 文件 | 内容中要看的东西 |
|---|---|
| 照片 | 脸、背景、反射、招牌、名牌 |
| 视频 | 声音、通知音、移动路径、周围对话 |
| 正文、注释、涂黑处理、嵌入图片 | |
| Office 文档 | 评论、修改历史、隐藏工作表 |
| 压缩文件 | 内部文件夹名、不必要文件、工作中的数据 |
文件要同时确认元数据和内容。
不要过度相信涂黑或模糊
上传文件前,也要确认涂黑和模糊处理。
即使外观看起来已经隐藏,PDF 内的文字可能仍然留下,图片编辑前的图层可能仍然留下,缩略图或预览中也可能看见原始信息。
| 处理 | 注意点 |
|---|---|
| PDF 涂黑 | 如果只是从上面遮住文字,有时仍可复制 |
| 图片模糊 | 模糊较弱时,文字或脸可能被还原或推测 |
| 裁剪 | 原图可能留在其他图层或历史中 |
| 截图加工 | 通知、时间、账号名容易留在边缘 |
| 缩略图 | 与主体分开生成的小图中可能留下信息 |
对于发布副本,要用其他应用或其他环境打开,确认想隐藏的信息是否不可见,且没有以可提取的形式留下。 如果把用于确认的文件上传到外部转换服务或在线查看器,该服务侧可能会留下文件和日志。 如果可能,应在本地环境或可信环境中确认。
查看共享目标和账号
也要确认上传目标。
实名云端、工作单位账号、个人 SNS、发布设置、共享链接的权限都与风险有关。
| 确认项目 | 理由 |
|---|---|
| 上传账号 | 是否会出现真实姓名或工作单位信息 |
| 共享范围 | 是否会被非预期对象看到 |
| 所有者显示 | 对方是否能看到姓名或邮箱 |
| 查看历史 | 是否会记录谁打开过 |
| 编辑权限 | 对方是否处于可以修改的状态 |
即使文件安全,也可能在上传目标暴露身份。
确认服务上的显示方式
上传后的文件在对方眼中如何显示,也很重要。
在云服务中,可能会显示所有者名、更新者、个人资料图片、共享文件夹名、查看者、评论栏。
| 显示的信息 | 风险 |
|---|---|
| 所有者名 | 真实姓名或工作单位账号会变得可见 |
| 个人资料图片 | 脸或个人账号会出现 |
| 更新者 | 会知道是谁编辑的 |
| 文件夹名 | 案件名、组织名、活动名会变得可见 |
| 评论栏 | 相关人员或内部对话会留下 |
如果可能,从其他环境或其他账号确认对方能看到的画面。
自己的画面看起来安全,对方的画面中也可能显示姓名。
创建发布副本
原文件和发布用文件要分开。
原文件有时需要保留证据性或工作历史。另一方面,发布用文件中不要留下不必要的信息。
| 文件 | 处理 |
|---|---|
| 原文件 | 必要时保存在安全位置 |
| 确认用副本 | 检查元数据和内容 |
| 发布副本 | 删除不必要信息后上传 |
不要直接上传原文件,这样更安全。
压缩文件要查看全部内容
ZIP 等压缩文件,是很容易漏看的格式。
其中包含的文件名、文件夹名、不必要的工作文件、隐藏文件、旧版本、缩略图、设置文件,都会泄露信息。
| 压缩文件内的信息 | 风险 |
|---|---|
| 文件夹名 | 真实姓名、案件名、组织名会留下 |
| 工作中文件 | 删除前的信息或评论会留下 |
| 隐藏文件 | 可能包含 OS 或编辑环境的信息 |
| 旧版本 | 修改前的个人信息会留下 |
| 不必要的图片 | 包含背景或位置信息 |
不要等压缩之后才确认,而要在压缩前整理文件夹结构。
只把必要文件放进新的文件夹,重新制作成发布用版本。
上传后也要确认
上传后也需要确认。
查看发布范围是否符合预期、缩略图中是否出现信息、预览中是否能看到注释或所有者名。
| 确认项目 | 理由 |
|---|---|
| 发布范围 | 是否处于任何人都能看到的状态 |
| 预览 | 正文或注释是否显示过多 |
| 缩略图 | 脸、背景、文件是否以小图显示 |
| 共享链接 | 确认被转发时的影响 |
| 删除方法 | 出现问题时是否能停止 |
上传并不会在放置文件的瞬间结束。
还要确认对方会怎样看到。
犹豫的文件不要上传
无法确认元数据、不知道共享目标会如何显示、不知道删除方法、有法律风险。
这种情况下,最好不要急着上传。
在匿名性中,比起发布后能否删除,更重要的是发布前能否停下来。文件一旦被共享,对方就可以保存、转发、分析。
在无法判断的状态下不发出去,有时会成为最现实的对策。
总结
上传文件前,要确认文件名、元数据、上传目标、共享设置。
图片、PDF、Office 文档、视频、音频中,各自可能留下不容易看见的信息。
如果从实名云端或工作单位账号上传,身份也可能不是从文件,而是从账号暴露出来。
分开原文件和发布副本,并在发布前再次确认。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。