云端历史和文件共享的风险
匿名活动中共享文件时,有时会使用云服务。
这很方便,但云端共享有匿名性风险。
共享链接、所有者名、编辑历史、评论、文件夹名、访问权限、登录状态、通知、同步历史,可能会和实名账号或组织账号连接起来。
即使把文件内容清理干净,如果共享位置是实名云端,匿名性也会崩塌。
本文整理云端历史和文件共享中会看到什么,以及共享前应该确认什么。
云端共享中可能会显示所有者
云服务中,有时会显示文件所有者或共享者。
如果共享用实名账号创建的文件,对方可能会看到姓名、邮箱地址、个人资料图片。
| 可见信息 | 会发生什么 | 注意点 |
|---|---|---|
| 所有者名 | 实名或组织名会可见 | 不要用实名云端共享 |
| 邮箱地址 | 联系方式会可见 | 也要注意恢复用邮箱和通知 |
| 个人资料图片 | 会和本人或过去账号连接 | 头像也要确认 |
| 组织名 | 工作单位或学校会可见 | 不要使用工作单位账号 |
即使设置为只有知道共享链接的人能看,所有者信息也可能可见。
共享前,要确认从接收方看会怎样显示。
编辑历史和评论
云端文档中可能残留编辑历史、评论、建议、修改者、创建时间。
即使从正文中删除姓名,如果编辑历史中还残留实名,就没有意义。
| 残留信息 | 能看出什么 | 注意点 |
|---|---|---|
| 编辑者名 | 谁进行了作业 | 不要用实名账号编辑 |
| 评论 | 作业备注和相关人员名 | 公开前删除 |
| 修改历史 | 旧文本或删除前信息 | 以不继承历史的形式创建公开副本 |
| 创建时间 | 作业时间 | 会和发布时间连接 |
共享云端文档前,应考虑以不保留历史的形式导出。
但是,即使转成 PDF,也可能残留元数据,因此输出后的文件也要确认。
共享链接设置
云端共享中,链接设置也很重要。
是只读还是可编辑、是否必须登录、知道链接的人是否都能看、是否可下载。设置不同,可见方式也不同。
| 设置 | 风险 | 确认事项 |
|---|---|---|
| 可编辑链接 | 他人可以修改 | 设为只读 |
| 必须登录 | 阅读者信息会残留 | 确认对方能看到什么 |
| 任何人可看 | 容易扩散 | 限定到必要范围 |
| 可下载 | 会被再分发 | 确认是否是可以拿出去的文件 |
| 无期限 | 长期残留 | 考虑期限和停止方法 |
共享链接不是只发送 URL 的行为。
它是交出访问权限的行为。
文件名和文件夹名
云端共享中,文件名和文件夹名也会可见。
即使确认了正文和图片,文件名中也可能残留本名、公司名、学校名、项目名、日期。
| 位置 | 残留信息 | 注意点 |
|---|---|---|
| 文件名 | 姓名、项目名、日期 | 改成公开用名称 |
| 文件夹名 | 组织名、项目名 | 确认共享范围 |
| zip 内文件 | 旧原始数据 | 确认打包内容 |
| 带评论文件 | 作业备注 | 共享前删除 |
不仅看文件,也要看共享的整个文件夹。
还要确认是否混入旧版本或原文件。
不要在实名云端写草稿
如果在实名云端编写匿名活动草稿,作业历史会留在真实身份一侧。
即使不共享,云同步、最近使用文件、编辑历史、终端通知中也可能留下痕迹。
| 行为 | 残留内容 | 对策 |
|---|---|---|
| 在实名云端写草稿 | 所有者、历史 | 与匿名用途分开 |
| 在工作单位云端编辑 | 组织日志 | 不使用 |
| 用手机同步 | 照片和通知 | 查看同步设置 |
| 重复使用共享链接 | 过去的对象 | 重新确认 |
需要匿名性的文件,从创建位置开始就要分开。
即使发布前一刻才匿名,如果草稿残留在真实身份一侧,关联仍会留下。
从接收方视角确认
云端共享中,只看自己的画面是不够的。
自己看不到的所有者信息和共享设置,接收方可能看得到。可以的话,用其他环境或预览确认对方会怎样看到。
| 确认事项 | 理由 |
|---|---|
| 所有者名是否可见 | 可能显示实名或组织名 |
| 是否变成编辑权限 | 对方可能修改 |
| 是否可下载 | 可能再分发 |
| 是否能看到其他文件 | 注意文件夹共享范围 |
| 是否要求登录 | 阅读者信息可能残留 |
共享前,要确认“把链接发出去后,对方会看到什么”。
停止共享也会留下副本
即使停止云端共享,如果对方已经下载,副本仍会残留。
截图、本地保存、转发、重新上传到其他云端也可能发生。
| 操作 | 能做到的事 | 仍会留下的事 |
|---|---|---|
| 停用链接 | 阻止之后的访问 | 已有副本 |
| 移除权限 | 停止阅览 | 已下载文件 |
| 删除文件 | 从原位置消除 | 对方保存的内容 |
| 替换最新版 | 改变之后的阅读内容 | 旧版本副本 |
共享文件应按“发送时已经离开自己控制范围”的前提处理。
高风险文件也要考虑云端共享以外的方法
内部举报、信源、受害咨询、与工作单位或学校有关的资料中,普通云端共享可能并不合适。
因为会留下所有者信息、访问日志、共享历史、通知、编辑历史。
处理高风险文件时,公开前应考虑咨询律师、支援团体、可信赖的编辑、专家。
在选择文件共享手段之前,先决定要从谁那里保护什么。
为了避免共享后慌乱,发送前先思考“这个文件留在对方手中是否可以接受”。
如果留下会困扰,就需要改变共享范围,或判断不进行共享。
云端共享不是发送,而是授予访问权限。
决定要让谁、在什么范围内、看多久之后再使用。
另外,共享链接一旦发送就可能被转发。
即使信任对方,对方的终端或账号也不一定安全。共享前,要确认即使在对方一侧被再共享,也不会出问题。
总结
云端历史和文件共享中,文件正文之外的信息会削弱匿名性。
所有者名、邮箱地址、个人资料图片、编辑历史、评论、共享链接、文件名、文件夹名、同步历史都会成为线索。
匿名活动中,基本原则是不在实名云端或工作单位云端写草稿、共享。
共享前,要确认接收方能看到什么、链接设置是否合适、历史和评论是否残留、文件名和打包内容是否没有信息。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/