评论和修改历史的风险
文档文件中,不仅正文,评论、修改历史、编辑者名、作业日期时间也可能残留。
Office 文档、PDF、共同编辑文档尤其需要注意。
匿名共享文档时,即使从正文中删除姓名,如果评论栏或修改历史中还残留作者、编辑者、组织名、往来痕迹,就没有意义。
本文整理评论和修改历史与匿名性的关系,以及公开前应该确认什么。
什么是评论和修改历史
评论是附加在文档特定位置的备注或指摘。
修改历史是记录谁在什么时候修改了哪个部分的功能。
| 类型 | 残留信息 | 匿名性上的注意点 |
|---|---|---|
| 评论 | 评论正文、发布者名、日期时间 | 编辑者和相关人员会可见 |
| 修改历史 | 添加、删除、修正内容 | 作业过程和原文会可见 |
| 作者信息 | 用户名、组织名 | 接近本人和所属 |
| 注释 | PDF 上的备注、高亮 | 审阅过程会可见 |
| 共同编辑历史 | 参加者、编辑时间 | 相关人员和作业环境会被看出 |
这些信息即使在画面上隐藏,也可能残留在文件内。
“看不见”和“已经删除”是两回事。
为什么与匿名性有关
评论和修改历史显示文档的制作过程。
在匿名性中,这个过程会成为强线索。
例如,匿名共享内部资料时,即使从正文中删除部门名,如果评论中残留上司姓名或团队名,来源候选就会被缩小。
采访资料中,评论和修订历史可能让人推测信源、编辑者、公开前的往来。
| 场景 | 能看到什么 |
|---|---|
| 内部举报文档 | 作者、编辑者、部门、修改时间 |
| 采访资料 | 信源、编辑过程、确认者 |
| 共同编辑文档 | 参加者、评论、修正内容 |
| 学校、工作单位资料 | 组织名、模板、用户名 |
| PDF 注释 | 审阅时的备注或高亮 |
评论和历史比正文更容易被疏忽。
正因如此,公开前必须确认。
修改历史会残留原信息
修改历史中特别危险的是,原本以为删除掉的信息仍留在历史中。
正文上看姓名已经消失,但显示修改历史时,原姓名可能会出现。
地址、部门名、相关人员名、时间线、内部用语也是一样。
| 正文中的状态 | 历史中可能残留 |
|---|---|
| 删除了姓名 | 删除前的姓名残留 |
| 模糊了地名 | 原地名残留 |
| 泛化了文章 | 原专业表达残留 |
| 隐藏了评论 | 评论正文残留在文件内 |
| 转成 PDF | 可能残留注释或作者信息 |
越是为了匿名化而编辑过的文档,越需要注意修改历史。
因为编辑过程本身包含原本想隐藏的信息。
公开前确认事项
公开文档前,确认下面项目。
| 确认项目 | 查看理由 |
|---|---|
| 评论 | 是否残留相关人员名和内部备注 |
| 修改历史 | 是否残留删除前的信息 |
| 作者 | 是否出现用户名或组织名 |
| 注释 | 是否残留 PDF 或审阅信息 |
| 隐藏元素 | 确认隐藏文本、隐藏工作表、嵌入信息 |
Office 文档有时可以使用文档检查功能。
但是,即使使用了检查功能,也不能只凭它判断为完全。
删除后还要用其他方法确认。
共同编辑文档的注意点
共同编辑文档中,不仅文件本身,服务上的历史也会成为问题。
谁编辑过、谁评论过、共享给谁、用哪个账号打开过,这些都可能留在服务侧。
| 信息 | 匿名性上的注意点 |
|---|---|
| 编辑者列表 | 相关人员和账号名会可见 |
| 评论历史 | 往来和判断过程会残留 |
| 共享权限 | 能看出共享给了谁 |
| 访问历史 | 有时会记录谁在什么时候打开 |
| 通知邮件 | 会连接到实名邮件或组织账号 |
即使从共同编辑服务导出文件,服务侧历史也不会因此消失。
思考匿名性时,要分开看文件内容和云端侧残留的历史。
只删除评论还不够
即使删除评论,也可能残留修改历史、作者信息、文件名、云端历史。
| 删除的东西 | 仍可能残留的东西 |
|---|---|
| 评论正文 | 评论发布者名和历史 |
| 修改历史 | 删除前文章和修正者 |
| 作者信息 | 文档属性中的姓名 |
| PDF 化后的注释 | PDF 侧备注和创建信息 |
| 云端历史 | 共享者、阅览者、更新时间 |
删除评论是必要作业。
但是,文档匿名化是确认多个层面的作业。
不要以“评论已经删掉所以没问题”结束,而要以重新制作公开用文档的思路处理。
PDF 化后也要确认
为了删除评论和修改历史,有时会转成 PDF。
PDF 化在某些场景有效,但不是万能的。
PDF 内可能残留注释、作者信息、隐藏文本、嵌入文件。
此外,PDF 化过程中还可能新附加创建应用名和创建日期时间。
因此,Office 文档转换成 PDF 后,也要作为 PDF 重新确认。
高风险文档也要重新看内容
即使删除评论和修改历史,正文内容本身也可能显示来源。
只有参加特定会议的人才知道的话、特定部门才使用的缩写、只发给少数人的资料、细到过头的时间线,都是元数据之外的线索。
内部举报和采访资料中,只删除文档元数据是不够的。
要从第三方视角确认,是否会从内容推测出谁可能知道这些信息。
重新制作公开用文件的思路
评论和修改历史很多的文档,与其直接清理原文件,有时重新制作公开用文件更安全。
例如,只把必要正文移到新文档中,泛化固有名词,在没有评论和历史的状态下制作公开用 PDF。
但是,复制目标的新文档也会附带作者名和创建时间。
因此,重新制作后,也要再次确认元数据和文件名。
匿名性中,把加工原本的作业和制作公开用文件的作业分开,会更容易确认。
总结
评论和修改历史是显示文档制作过程的信息。
即使从正文中删除姓名和地名,如果残留在评论、修改历史、注释、作者信息中,匿名性也会变弱。
尤其是内部举报、采访资料、共同编辑文档中,编辑者、部门、作业时间、原文章都是强线索。
公开前,要确认评论、修改历史、作者、注释、隐藏元素。
PDF 化也不是终点。PDF 化后的文件也要从元数据和外观两方面重新确认。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。