如何手动确认 URL
URL 拥有的信息比外观看起来更多。
它不仅可能包含页面位置,还可能包含搜索词、广告 ID、推荐代码、活动信息、单独生成的标识符。
匿名发帖时,即使仔细确认了正文和图片,如果直接粘贴 URL,也会从另一个位置泄露线索。
URL 确认看起来像是困难的工作,但只要决定查看顺序,初学者也能做到。
本文整理手动确认 URL 的基本步骤。这里讨论在依赖专用工具之前,应该用自己的眼睛查看哪里。
首先分解 URL
确认 URL 时,不要试图一次读完整体。
先把它分成几个部分。
| 部分 | 查看内容 | 注意点 |
|---|---|---|
| 域名 | 是哪个网站 | 注意相似字符和假域名 |
| 路径 | 是哪个页面 | 查看是否为管理画面、编辑画面、预览 |
| 查询 | ? 之后的值 | 可能残留搜索词、ID、跟踪信息 |
| 片段 | # 之后的值 | 在普通 HTTP 请求中不会发送给服务器,但可能被分享对象或页面内处理看到 |
| 短链接 | 是否为转发用 URL | 最终目的地会被隐藏 |
仅仅这样分解,就能防止许多失误。
尤其要避免不看 ? 之后就分享。
确认域名
最先查看的是域名。
域名表示会连接到哪个网站。
如果使用短链接或重定向,外观上的域名可能与最终连接目标不同。
| 确认 | 理由 |
|---|---|
| 是否为不认识的域名 | 查看是否可能是假网站或中转服务 |
| 是否使用相似字符 | 避免伪装成真网站的其他域名 |
| 是否为短链接 | 需要确认最终 URL |
| 是否为登录画面或管理画面 | 避免分享个人用页面 |
在匿名性中,先理解连接目标再打开很重要。
如果用登录实名账号的浏览器打开未知短链接,可能会与 或登录状态连接起来。
查看 ? 之后
接下来,确认查询字符串。
? 之后会混合页面显示所需的值,以及用于跟踪或识别的值。
| 值 | 看法 | 判断 |
|---|---|---|
| utm_source、utm_campaign | UTM 参数 | 多数情况下可以删除 |
| gclid、fbclid | 广告或 SNS 的点击 ID | 多数情况下可以删除 |
| ref、affiliate | 推荐或联盟来源 | 确认内容 |
| q、search | 搜索词 | 搜索内容会残留 |
| id、page | 页面或商品 ID | 有时显示需要 |
| token、session、sid | 接近临时状态或认证的值 | 优先判断为不分享 |
这里重要的不是全部删除。
如果连显示所需的值也删除,就会变成其他页面。
另一方面,如果跟踪用的值残留,就会成为分享来源或点击路径的线索。
逐个删除并确认
确认 URL 时,最好不要一次全部删除。
逐个删除,就能看出哪个值必要、哪个值不必要。
| 步骤 | 执行内容 | 理由 |
|---|---|---|
| 1 | 记录原 URL | 以便恢复 |
| 2 | 删除一个看起来像跟踪的值 | 便于确认影响 |
| 3 | 重新打开 | 查看是否显示同一页面 |
| 4 | 在分离的浏览器或配置文件中确认 | 减少登录状态的影响 |
| 5 | 查看残留的不明值 | 确认是否残留个别 ID 或认证值 |
如果能打开同一页面,该值可能是分享不需要的。
不过,即使外观看起来相同,网站侧也可能进行不同的记录或统计。无法做到完全判断,但减少不必要的参数仍然有意义。
查看搜索词和个人信息
URL 中可能直接残留搜索词或输入内容。
搜索结果页面、翻译页面、地图、表单、预约网站、咨询页面尤其需要注意。
| 容易残留的信息 | 例 | 注意点 |
|---|---|---|
| 搜索词 | q、query、keyword | 会看出兴趣或调查对象 |
| 地名 | location、place | 会看出日常活动范围或移动目的地 |
| 姓名 | name、user | 指向本人或相关人员 |
| 邮件 | 会成为直接标识符 | |
| 编号 | order、ticket、reservation | 可能关系到申请或购买 |
如果 URL 内有个人信息,即使从正文中删除也没有意义。
要像确认帖子正文一样,确认 URL 字符串。
查看短链接和重定向
短链接会让手动确认变难。
因为只看外观无法知道最终 URL。
打开短链接之前,先确认展开后的目的地。如果无法展开,或发送者不明,也需要判断为不要勉强打开。
如果使用在线展开服务或 URL 检查服务,该 URL、确认时间、访问源 IP、User-Agent 可能会传给服务侧。对于高风险链接,把输入外部服务这一行为本身也纳入信任判断。
如果存在多次重定向,中途的服务可能会观察点击时间、IP 地址、User-Agent、来源。
短链接并不只是短的 URL。
它是一种增加新中转点的机制。
手动确认的限制
手动确认有其限制。
即使删除了 URL 中可见的参数,Cookie、登录状态、浏览器指纹、访问日志也会另行留下。
此外,网站内部如何记录信息,也无法从外部完全知道。
因此,URL 确认不是万能的。
不过,仅仅减少 URL 中可见的明显跟踪值和个人信息,也能大幅减少发布前失误。
拿不准时
URL 确认时感到犹豫是自然的。
并不是所有服务都会使用易懂名称的参数。只从外部查看,有时无法判断 id 是文章 ID、用户 ID,还是活动 ID。
犹豫时,按下面方式判断。
| 犹豫的状态 | 采取的判断 | 理由 |
|---|---|---|
| 删除后页面改变 | 保留该值,或寻找其他分享方式 | 可能是显示所需的值 |
| 删除后同一页面打开 | 将删除后的 URL 作为候选 | 可能是分享不需要的值 |
| 残留 token 或 session | 不分享 | 可能关系到个别状态或认证 |
| 只有短链接 | 确认展开目的地 | 为了理解目的地和中转 |
| 无法判断 | 推迟发布 | 不把未确认项当作安全 |
匿名性中重要的是,不要在不理解的状态下继续。
URL 看起来像是之后可以订正,但发布后可能会通过截图、存档、引用留下。
发布前几分钟的确认,比发布后长期应对轻得多。
区分 URL 确认和其他确认
确认了 URL,并不意味着整篇帖子都安全。
URL 确认是发布前检查的一部分。
| 另需确认的内容 | 查看理由 |
|---|---|
| 正文 | 会残留专有名词、时间线、、日常活动范围 |
| 图片 | 会残留背景、反射、脸、位置信息 |
| 文件 | 会残留作者、编辑历史、元数据 |
| 账号 | 会与登录状态、资料、过去帖子连接起来 |
| 通信环境 | IP 地址、DNS、访问时间会相关 |
即使整理了 URL,如果用实名账号发帖,匿名性也会崩塌。
反过来,即使隐藏了通信路径,如果 URL 中残留个别 ID,也会成为关联材料。
URL 确认是独立的工作,但要放在整体匿名性中思考。
总结
手动确认 URL 时,要分开查看域名、路径、查询、片段、短链接。
尤其是 ? 之后,可能包含搜索词、跟踪参数、点击 ID、推荐代码、个别 ID。
可以删除的值和页面显示所需的值,要分开判断。
如果有不明值,就逐个删除并重新打开,也在分离的浏览器、其他配置文件、登出状态下确认。
仅靠 URL 确认并不能完成匿名性。
但是,URL 是帖子正文的一部分。如果要重新阅读正文,也需要重新阅读 URL。