URL 中残留搜索词和个人信息的情况
搜索内容和输入信息,并不只会留在页面正文里。
根据 Web 服务不同,搜索词、地名、姓名、邮箱地址、预约编号、咨询 ID 等可能包含在 URL 中。
如果把这样的 URL 原样共享,就会把正文里没写的信息也交给对方。
在匿名性中,URL 中残留的搜索词和个人信息很容易被漏掉。
本文整理哪些 URL 容易残留搜索词和个人信息,以及共享前应该看什么。
搜索词残留在 URL 中的机制
在搜索服务或站内搜索中,搜索词可能作为查询字符串进入 URL。
例如,写成说明用形式就是下面这样。
sample.test/search?q=privacy
这里的 q=privacy 表示搜索词。
共享这种 URL 时,对方会知道你搜索了什么。
搜索词可能显示本人的兴趣、调查对象、烦恼、居住地、所属、疾病、法律咨询、职场纠纷等。
搜索词关系匿名性,是因为它显示这个人调查过什么。
个人信息残留在 URL 中的场面
除了搜索词,URL 中也可能进入接近个人信息的值。
| 场面 | URL 中可能残留的信息 | 注意点 |
|---|---|---|
| 站内搜索 | 姓名、地名、职场名、学校名 | 看得见调查对象 |
| 地图服务 | 地址、车站名、设施名 | 看得见日常活动范围或目的地 |
| 预约网站 | 预约编号、日期、人数 | 与行动计划连接 |
| 咨询页面 | 邮箱、姓名、咨询 ID | 有时接近直接标识符 |
| 翻译服务 | 输入文章的一部分 | 有时看得见内容或调查对象 |
并不是所有服务都会把个人信息放进 URL。
但是,如果共享前不确认,就连是否包含也不知道。
URL 内的个人信息不显眼
URL 内的个人信息比正文不显眼。
它埋在很长的 URL 里,所以共享者本人也不容易注意到。
| 信息 | 容易漏看的理由 | 对匿名性的影响 |
|---|---|---|
| 搜索词 | 进入 URL 后半部分 | 看出兴趣或调查对象 |
| 地名 | 作为参数值进入 | 看出日常活动范围或目的地 |
| 邮箱 | 混入自动输入或共享链接 | 成为直接标识符 |
| 编号 | 与预约或订单有关 | 与行动历史连接 |
| 姓名 | 残留在搜索对象或表单值中 | 显示本人或相关人员 |
匿名发帖时,即使从正文中删除姓名,如果 URL 中残留姓名,也没有意义。
正文、图片、文件、URL 要作为一组确认。
共享前查看顺序
确认 URL 中是否残留搜索词和个人信息时,按以下顺序查看。
| 顺序 | 确认内容 | 理由 |
|---|---|---|
| 1 | 查看 ? 之后 | 搜索词和输入值容易进入这里 |
| 2 | 寻找 q、query、search | 搜索词常常残留 |
| 3 | 寻找 name、email、user | 查看是否有直接标识符 |
| 4 | 寻找 location、address、place | 确认地名和日常活动范围 |
| 5 | 寻找 order、ticket、reservation | 避免预约和申请信息 |
如果发现的值对共享并非必要,就删除。
如果删除后页面改变,就考虑是否有必要共享这个 URL。
包含个人信息的 URL,比起整理后使用,寻找另一个共享用 URL 往往更安全。
共享搜索结果 URL 时
共享搜索结果 URL 时,有时搜索词本身就是目的。
例如,“希望你看这个搜索结果”的情况。
即使如此,也要确认搜索词以外的值是否残留。
根据搜索服务不同,除了搜索词,还可能附加地区、语言、广告、会话、使用环境相关的值。
另外,如果搜索词显示本人的兴趣或调查对象,比起搜索结果 URL,只共享想给对方看的页面 URL 更安全。
匿名性中特别需要注意的场面
以下情况中,URL 内的搜索词和个人信息会成为强线索。
- 正在调查与职场或学校有关的信息
- 搜索地区、车站、医院、店铺、行政手续等
- 搜索本名或旧网名
- 寻找与内部举报或采访有关的资料
- 搜索家人或相关人员的姓名
这些搜索词即使单独不能指向本人,与发帖内容和时间连接后,也会成为强关联材料。
发现个人信息时的判断
在 URL 内发现个人信息或搜索词时,不是马上删除就结束。
要区分可以删除的信息,和原本就不应该共享的信息。
| 发现的信息 | 判断 | 理由 |
|---|---|---|
| 搜索词 | 必要时删除,或只共享想展示的页面 | 看得见兴趣或调查对象 |
| 地名 | 考虑共享目的是否需要 | 显示日常活动范围或目的地 |
| 姓名 | 原则上不共享 | 接近本人或相关人员 |
| 邮箱地址 | 不共享 | 成为直接标识符 |
| 预约编号和订单编号 | 不共享 | 接近行动历史和申请信息 |
如果 URL 中残留个人信息,这个 URL 往往不是公开用的。
应寻找正式公开页面,或不包含个人信息的共享链接。
犹豫时,把 URL 分解到可以读出声的程度。
如果其中有不想让别人看到的搜索词、地名、姓名、编号,就不要原样共享这个 URL。
URL 外部也会残留搜索痕迹
即使从 URL 中删除搜索词,搜索行为本身也不会完全消失。
如果登录了搜索服务,搜索历史可能与账号连接。
浏览器会留下历史。职场或学校设备中,设备管理和网络管理记录可能相关。
匿名性中,不只要确认 URL,也要确认在哪个环境中搜索。
| 位置 | 可能残留的信息 |
|---|---|
| 搜索服务 | 搜索词、时间、登录状态 |
| 浏览器 | 历史、、输入候选 |
| 设备 | 剪贴板、截图、通知 |
| 网络 | 连接目标、时间、通信量 |
| 发帖位置 | 共享 URL、发帖时间、账号信息 |
删除 URL 内的信息很重要。
不过,这只是搜索行为整体的一部分。
总结
URL 中可能残留搜索词和个人信息。
搜索结果、地图、预约、咨询、翻译、站内搜索的 URL 尤其需要注意。
即使正文没有写姓名,如果 URL 的 ? 之后残留姓名、地名、邮箱、搜索词、预约编号,匿名性就会变弱。
共享前,要确认 q、query、search、name、email、location、address、token 等。
如果残留无法判断的值,不要当作安全,而要寻找其他共享用 URL,或延迟共享。
URL 看起来在发帖正文外部,实际上也是公开信息的一部分。
相关工具
OSINT Framework
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。