浏览器能删除的元数据和不能删除的元数据
上传图片或文件时,Web 服务或浏览器侧功能有时会删除元数据。
在社交媒体或消息应用中,上传时也可能会删除位置信息和一部分 。
但是,认为“因为是用浏览器上传的,所以安全”“社交媒体会自动删除,所以没问题”是危险的。
哪些信息会被删除、哪些信息会残留,会因服务、文件格式、设置、转换处理而变化。
本文把浏览器和 Web 服务可以删除的信息,与应使用本地工具确认的信息分开整理。
浏览器或服务端删除是什么意思
将图片或视频上传到 Web 服务时,服务端可能会重新压缩文件、调整尺寸,或删除一部分元数据。
这样做是为了减少容量、优化显示、保护隐私、安全对策等。
| 处理 | 会发生什么 | 注意点 |
|---|---|---|
| 重新压缩 | 缩小图片或视频的大小 | 有些元数据可能会消失 |
| 调整尺寸 | 转换为显示用尺寸 | 会变成与原图不同的文件 |
| EXIF 删除 | 删除 GPS 和拍摄信息 | 不一定删除所有项目 |
| 格式转换 | 转换为其他格式 | 可能附加新的元数据 |
| 生成预览 | 创建缩略图 | 原文件可能另行保存 |
问题在于,用户无法完全确认处理内容。
服务会删除什么,会因公开信息、设置、实现变化而改变。
只交给浏览器侧的危险
如果交给浏览器或 Web 服务,确认的主导权就会转移到服务端。
在匿名性重要的情况下,这是一个大问题。
| 风险 | 说明 |
|---|---|
| 不知道删除范围 | 用户很难确认哪些标签会残留 |
| 上传时已经交出 | 删除前的原文件会到达服务端 |
| 处理会变化 | 服务规格变更会改变结果 |
| 文件格式有差异 | 图片中删除了,PDF 或视频中却可能残留 |
| 可见线索会残留 | 背景、反射、文字、声音不会消失 |
特别重要的是,你上传的是删除前的文件。
即使发布时元数据被删除,服务端也可能已经收到处理前的文件。
对于高风险文件,应在上传前于本地确认。
区分低风险和高风险
并不是所有发布都需要同样强度的确认。
日常照片共享,与采访资料或内部举报资料,应有不同的谨慎程度。
| 情况 | 思路 |
|---|---|
| 日常低风险发布 | 服务端自动删除有时也足够,但要确认地点和人脸 |
| 匿名账号发布 | 上传前确认元数据和背景 |
| 与职场或学校有关的资料 | 在本地确认创建者、组织名、编辑历史 |
| 采访和举报资料 | 上传到外部服务前务必在本地确认 |
| 活动或现场照片 | 不只确认元数据,也确认参加者和背景 |
从写作规则上也重要的是,不要过度吓人。
而是根据情况决定确认到什么程度。
使用本地工具确认的意义
使用本地工具,可以在把文件交给外部服务之前确认。
ExifTool 是元数据确认中常用的代表性工具。
URL : https://exiftool.org/
本地确认的好处是,确认作业本身不会交给外部服务。
| 好处 | 说明 |
|---|---|
| 可在外部上传前确认 | 可在把原文件交给服务前判断 |
| 可比较删除前后 | 可确认什么消失了 |
| 可确认多种格式 | 可查看图片、PDF、音频、视频等 |
| 可自行再次确认处理结果 | 不完全交给服务 |
不过,本地工具也不是万能的。
如果设备本身受管理,或是在云端同步文件夹中操作,就会留下其他记录。
可以删除的东西和不能删除的东西
元数据删除中容易混淆的是,文件内部信息与外观或内容信息的区别。
| 类型 | 删除和确认的思路 | 示例 |
|---|---|---|
| 文件内部的元数据 | 有时可用工具确认和删除 | GPS、创建日期和时间、创建者、应用名 |
| 文件名 | 手动更改 | 真实姓名、案件名、地点名 |
| 图片外观 | 目视确认 | 背景、反射、招牌、名牌 |
| 音频和视频内容 | 观看或收听确认 | 声音、环境音、广播 |
| 发送路径日志 | 作为另一个问题处理 | 上传时间、IP、账号 |
要区分工具能删除的信息和工具不能删除的信息。
即使用 ExifTool 删除了 GPS,如果照片背景中拍到地址,也没有意义。
即使社交媒体删除了 EXIF,发布账号和发布时间仍会留下。
按什么顺序确认
处理高风险文件时,按以下顺序确认。
| 顺序 | 作业 | 理由 |
|---|---|---|
| 1 | 复制原文件 | 分开原本和发布用文件 |
| 2 | 在本地查看元数据 | 上传前把握风险 |
| 3 | 进行必要的删除或重新生成 | 创建发布用文件 |
| 4 | 删除后再次确认 | 查看处理结果 |
| 5 | 确认可见外观和内容 | 查看背景、反射、、声音 |
| 6 | 最后上传 | 在交给服务前完成判断 |
服务端删除功能应作为最后的辅助来考虑。
重要的是,不要一开始就交给服务端。
交给服务之后可能已经太晚
即使会在浏览器上删除,如果设计是在处理前先把原文件发送给服务,那么原文件已经一度交到了外部。
这关系到匿名性的信任模型。
| 阶段 | 信任对象 | 注意点 |
|---|---|---|
| 本地确认 | 自己的设备环境 | 需要设备和保存位置具有相应安全性 |
| 上传 | Web 服务运营者 | 可能交出原文件和访问日志 |
| 发布后 | 浏览者、搜索引擎、存档 | 复制和保存会扩散 |
| 删除请求 | 服务运营者 | 删除范围和保存期限依赖运营方 |
因此,对于高风险文件,不只要考虑“发布时是否会消失”,还要考虑“消失前会交给谁”。
总结
浏览器和 Web 服务可能会在上传时删除一部分元数据。
但是,删除范围会因服务和格式而变化,用户不一定能完全确认。
此外,在把删除前的原文件交给服务的时点,就产生了新的信任对象。
对于匿名性重要的文件,应在上传前于本地确认。
使用 ExifTool 等本地工具查看元数据,在删除后再次确认,并进一步确认背景、反射、声音、文件名、发送路径。
浏览器侧删除很方便,但不能把匿名性完全交给它。
相关工具
BrowserLeaks WebRTC
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Wayback Machine
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://web.archive.org/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。