云端共享链接的风险
云端共享链接很方便。
上传照片、PDF、视频、资料,只要发送链接就能与对方共享。无法通过 SNS 或邮件直接发送大文件时,也是一种容易使用的方法。
但是,考虑匿名性时,云端共享链接需要注意。
不只文件内容,所有者姓名、账号名、编辑历史、共享设置、访问权限、文件名、预览画面、通知、访问日志都可能有关。
共享链接不一定只传递文件
在云端共享中,对方看到的不只是文件本身。
根据服务不同,可能会显示所有者姓名、图标、电子邮件地址的一部分、文件夹名、更新者、评论、编辑历史。
| 可能看到的信息 | 风险 |
|---|---|
| 所有者姓名 | 与实名账号连接 |
| 个人资料图片 | 能知道本人或其他账号 |
| 电子邮件地址 | 联系方式和实名账号变得可见 |
| 文件夹名 | 出现案件名、学校名、公司名 |
| 编辑历史 | 留下谁创建、编辑过 |
| 评论 | 能看到共同编辑者和对话内容 |
即使打算匿名传递文件,如果从实名云端账号共享,在那一刻匿名性就会崩塌。
共享设置的陷阱
共享链接有几种公开范围。
“知道链接的所有人”“仅特定对象”“仅组织内”“可编辑”“仅查看”等。
如果设置错误,就会变成预期之外的人也能看到。
| 设置 | 注意点 |
|---|---|
| 知道链接的所有人 | 链接被转发后谁都能看 |
| 仅特定对象 | 对方账号中会留下通知和历史 |
| 仅组织内 | 与学校或公司账号连接 |
| 可编辑 | 对方可以改写内容 |
| 仅查看 | 需要另外确认下载和复制的处理 |
即使设置为“仅查看”,也不一定能阻止对方截图或录屏。
共享设置只控制访问入口。并不保证信息扩散后的控制。
文件本身的信息
在云端共享中,文件内容和元数据也会成为问题。
PDF 中可能残留创建者姓名。Office 文件中可能残留编辑者、评论、变更历史。图片中可能包含拍摄日期时间和位置信息。
| 文件 | 残留信息 |
|---|---|
| 创建者、编辑软件、嵌入信息 | |
| Word 和 Excel | 创建者、变更历史、评论、组织名 |
| 图片 | GPS、拍摄日期时间、相机机型 |
| 视频 | 拍摄设备、位置、声音、背景信息 |
| 压缩文件 | 内部文件名、文件夹结构 |
即使谨慎设置云端共享链接,如果文件本身残留信息,也没有意义。
文件元数据的详细确认,会在另一篇文章中说明。
访问日志和通知
云端服务中,谁访问过、谁编辑过、何时打开过,可能会被记录。
也可能向共享对象发送通知。用实名账号访问时,对方可能看到姓名。
| 可能被记录的信息 | 对匿名性的影响 |
|---|---|
| 查看者 | 用实名账号打开会留下姓名 |
| 访问时间 | 能看到行动时间线 |
| 编辑者 | 能知道共同编辑者和作业者 |
| 评论历史 | 留下对话和相关人员 |
| 通知 | 查看和共享会传达给对方 |
不只是匿名共享的一方,匿名接收的一方也需要注意。
如果在登录实名账号的状态下打开,仅仅接收也可能留下痕迹。
接收方的行为也可能被共享者看到。
有些服务会把打开文件、评论、下载、编辑、共享给他人等操作保存在历史中。 想匿名确认资料的人,如果用实名账号打开,姓名可能会作为查看者显示。
| 接收方行为 | 可能残留 |
|---|---|
| 用实名账号打开 | 查看者姓名和邮件残留 |
| 评论 | 显示实名和个人资料图片 |
| 编辑 | 作为编辑者残留在历史中 |
| 下载 | 根据服务不同可能残留在历史中 |
| 转发 | 共享范围扩大 |
想匿名共享时的思考方式
如果想匿名共享文件,基本原则是不要使用实名云端账号。
此外,还要确认文件元数据、确认共享链接的公开范围,并思考访问后会留下谁的信息。
| 确认项目 | 理由 |
|---|---|
| 是否没有使用实名账号 | 身份会通过所有者姓名和通知出现 |
| 文件名是否没有个人信息 | 下载时对方能看到 |
| 是否确认元数据 | 创建者和位置信息会残留 |
| 是否确认共享范围 | 防止扩散到预期外对象 |
| 是否考虑接收方登录状态 | 对方或自己的查看历史会残留 |
高风险共享中,应考虑普通云端服务以外、适合匿名共享的专用工具。
OnionShare 和 SecureDrop 等工具会在其他文章中说明。
停止共享后仍会留下的东西
即使停用共享链接,也不是所有东西都会消失。
如果对方已经下载,文件会留在对方设备中。 如果对方截图或录屏,内容会以另一种形式残留。 通知邮件或聊天历史中也可能残留文件名和链接。
| 停止共享后残留的东西 | 注意点 |
|---|---|
| 已下载文件 | 残留在对方设备和备份中 |
| 截图 | 删除原链接后内容仍会留下 |
| 通知邮件 | 残留文件名和所有者信息 |
| 聊天历史 | 残留共享时间和对方关系 |
| 访问日志 | 残留过去查看和编辑历史 |
共享链接可以停止公开状态。 但是,无法收回已经被看到的信息。
共享前想象对方的画面
在云端共享中,只看自己的管理画面是不够的。
对方打开链接时,会显示哪个名字。 下载时,会是什么文件名。 预览中能看到多少内容。 对方是否会被要求登录。
想象这个画面,更容易注意到实名账号和文件夹名的暴露。 需要匿名性的共享,在发送前必须确认“从对方那里看起来是什么样”。
总结
云端共享链接不是只传递文件的机制。
所有者姓名、账号、电子邮件地址、文件夹名、编辑历史、评论、访问日志、通知都可能有关。
如果打算匿名共享,重要的是不要使用实名账号,确认共享设置,并确认文件元数据。
此外,接收方如果用实名账号打开,也可能留下痕迹。
在云端共享中,不要以为“只是发了一个链接”,而要把账号、文件、日志、通知一起确认。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/