删除后重新确认元数据的方法
元数据即使以为已经删除,也可能残留。
在图片、PDF、Office 文档、视频、音频文件中,作者名、拍摄日期和时间、GPS、编辑历史、应用名、文件名、嵌入信息可能保存在多个位置。
只按过一次“删除”按钮就认为安全,是危险的。
在匿名性上重要的不是已经删除这件事,而是在删除后,在能够确认的范围内检查是否没有残留。
本文整理删除元数据后应重新确认的内容。
为什么需要重新确认
元数据删除工具和应用很方便。
但是,它们不能以同样方式删除所有格式、所有标签、所有嵌入信息。
| 理由 | 说明 |
|---|---|
| 不同格式的保存位置不同 | JPEG、PDF、Office、视频的内部结构不同 |
| 只删除部分信息 | GPS 可能被删除,但创建应用名仍会残留 |
| 重新保存会附加新信息 | 可能添加编辑软件名或更新时间 |
| 可见信息不会消失 | 背景、反射、文字、声音需要另外确认 |
| 容易过度相信工具结果 | 可能以为已经删除就发布 |
重新确认不是删除作业之后的收尾。
它是删除作业本身的一部分。
比较删除前和删除后
重新确认时,要比较删除前和删除后。
比起只看删除后的文件,这样更容易判断什么消失了、什么留下了。
| 阶段 | 查看内容 | 理由 |
|---|---|---|
| 删除前 | 有哪些元数据 | 把握有风险的项目 |
| 删除处理 | 用哪个工具做了什么 | 记录处理内容 |
| 删除后 | 同样的项目是否残留 | 确认删除结果 |
| 用其他工具确认 | 以另一种视角确认 | 减少单一工具的遗漏 |
| 外观确认 | 确认背景和文字 | 查看元数据以外的线索 |
对于高风险文件,要明确分开原文件和发布副本。
基本原则是不要直接上传原文件。
重新确认时查看的项目
重新确认时,不同格式查看的项目会变化。
| 格式 | 查看项目 |
|---|---|
| 图片 | GPS、拍摄日期和时间、机型名、编辑软件、缩略图 |
| 作者、创建应用、注释、嵌入文件、更新历史 | |
| Office | 作者、组织名、评论、修订历史、隐藏工作表 |
| 音频 | ID3 标签、录音日期和时间、创建应用、环境音 |
| 视频 | 拍摄日期和时间、GPS、创建应用、音频、背景、画面内文字 |
不仅要确认元数据,也要确认文件名。
像 田中_履歴書_final.pdf 这样的文件名,即使删除了元数据,也会留下个人信息。
不同格式中重新确认的意义不同
即使都叫元数据,信息残留的方式也会因文件格式而不同。
图片中,GPS 和拍摄日期时间是重点。
PDF 中,作者、创建应用、注释、嵌入文件会成为问题。
Office 文档中,作者、公司名、修订历史、评论、隐藏工作表会成为问题。
音频和视频中,不仅标签重要,声音和背景音也重要。
| 格式 | 重新确认时重视的内容 | 理由 |
|---|---|---|
| JPEG 图片 | 、GPS、缩略图 | 拍摄地点和拍摄时刻容易残留 |
| PNG 图片 | 文本块、创建应用 | 截图或编辑信息可能残留 |
| 作者、注释、嵌入内容 | 外观中看不到的信息会残留 | |
| Office 文档 | 评论、修订历史、隐藏元素 | 工作过程或组织名会残留 |
| 音频/视频 | 标签、创建应用、音频内容 | 需要同时查看元数据和内容 |
如果只用一种确认方法同样处理所有格式,遗漏会增加。
要先了解每种格式中“什么容易残留”,再重新确认。
在本地确认的理由
匿名性重要的文件,原则上应避免上传到外部网站进行确认。
上传到外部网站后,文件内容和访问日志会交给该网站。
对于高度机密文件,应优先使用本地工具。
ExifTool 是可以在本地确认元数据的代表性工具。
URL : https://exiftool.org/
不过,即使使用本地工具,如果设备本身不安全,意义也会变弱。
在工作设备、学校设备、共享 PC、云同步文件夹中作业时,也要考虑设备和保存位置的日志。
重新确认的步骤
实际流程可以整理如下。
| 顺序 | 作业 | 理由 |
|---|---|---|
| 1 | 保存原文件,创建发布副本 | 不混淆原本和发布用文件 |
| 2 | 查看发布副本的元数据 | 把握残留了什么 |
| 3 | 进行必要的删除或重新生成 | 减少有风险的信息 |
| 4 | 删除后重新确认同样项目 | 确认处理结果 |
| 5 | 从其他角度确认外观 | 查看背景、反射、文字、音频 |
| 6 | 确认文件名和保存位置 | 防止文件外侧信息泄露 |
这个步骤看起来很麻烦。
但是,文件一旦公开,可能被复制、保存、再次分发。
与公开后才发现相比,公开前确认要容易得多。
重新确认后仍会残留的风险
即使重新确认,也并不意味着所有风险都会消失。
即使元数据消失,内容本身仍会留下线索。
文章的、资料内容、图片背景、音频中的声音、视频的环境音、PDF 内的引用和时间线,都要另外确认。
另外,发送文件的路径也会留下日志。
云共享、邮件、社交媒体私信、上传表单、内部举报工具,各自都涉及不同记录。
是否留下重新确认的记录
在高风险作业中,可能会想为自己记录确认了什么。
但是,该记录本身也可能成为新的风险。
| 记录 | 注意点 |
|---|---|
| 确认结果截图 | 可能拍到文件名、路径、用户名 |
| 作业笔记 | 可能写入过多真实姓名、地点、经过 |
| 云端保存 | 会与同步历史或账号关联 |
| 用聊天咨询 | 咨询对象和发送时刻会被记录 |
| 纸质笔记 | 保存位置和废弃方法会成为问题 |
即使需要记录,也要避免放在实名账号使用的环境或个人云端中。
在匿名性中,也要考虑确认作业本身的痕迹。
总结
删除元数据时,删除后的重新确认很重要。
仅仅使用删除工具,不能判断所有信息都已经消失。
图片、PDF、Office、音频、视频中,信息保存的位置和种类不同。
需要比较删除前后,也从其他角度确认,并查看文件名和外观信息。
在匿名性中,不把“以为已经删除”当作安全。
创建发布用文件、删除、重新确认,最后还要确认外观和传输路径。
相关工具
Wayback Machine
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://web.archive.org/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。