Blog / Gabung PDF
🔒

Mengapa Anda tidak boleh mengunggah PDF ke alat online acak

Alat PDF online sangat nyaman - dan salah satu sumber kebocoran dokumen paling senyap. Berikut apa yang sebenarnya terjadi pada file Anda dan cara tetap aman.

· 7menit baca

Bayangkan situasi ini: Anda punya tiga PDF yang perlu digabungkan untuk sebuah email. Anda cari “merge PDF online” di Google, klik hasil pertama, unggah file, unduh hasilnya, dan lanjutkan pekerjaan. Total waktu: 90 detik.

Yang mungkin tidak Anda pikirkan adalah siapa lagi yang baru saja menyentuh dokumen Anda. Tulisan ini membahas mekanisme privasi yang sebenarnya dari alat PDF online — apa yang terjadi saat Anda klik “upload”, siapa yang bisa melihat file, berapa lama tersimpan, dan mengapa semua itu penting.

Kalau ingin langsung ke intinya: bagi kebanyakan orang di sebagian besar situasi, upload itu tidak apa-apa. Tapi ada kategori dokumen tertentu di mana mengunggah adalah keputusan buruk, dan ada alternatif gratis berbasis browser yang menghilangkan risikonya sama sekali.

Apa yang sebenarnya terjadi saat Anda mengunggah

Saat Anda menjatuhkan PDF ke alat online biasa, berikut urutannya:

  1. Browser Anda mengirim file melalui HTTPS ke server alat tersebut. Enkripsi dalam transit adalah standar.
  2. Server menulis file ke disk, biasanya dalam direktori sementara yang diidentifikasi oleh ID acak.
  3. Proses backend membaca file dan melakukan operasi apa pun - gabung, konversi, kompresi, pemisahan.
  4. Output ditulis ke disk di area sementara yang sama.
  5. Server mengirim Anda tautan unduhan, sering kali dengan token yang berumur pendek.
  6. Akhirnya, file dihapus - biasanya dalam 1-24 jam, kadang-kadang lebih lama.

Pada langkah 2-6, dokumen Anda ada di infrastruktur orang lain, biasanya server cloud bersama. Apa pun yang menyentuh server itu - kode alat itu sendiri, staf mana pun yang memiliki akses, sistem backup apa pun, pipeline logging apa pun, penyerang mana pun yang membobol layanan - memiliki akses ke file Anda.

Ini berlaku untuk pada dasarnya setiap alat online. Ini tidak jahat; hanya cara aplikasi web bekerja.

Apa yang sebenarnya dijanjikan kebijakan privasi

Sebagian besar alat PDF online memiliki kebijakan privasi yang mengatakan salah satu dari ini: “File dihapus dalam 1 jam,” “File dihapus dalam 24 jam,” “File dihapus setelah pemrosesan” (tidak jelas; biasanya tetap berarti 1+ jam), atau tidak ada janji spesifik sama sekali.

Yang hampir tidak pernah ada dalam kebijakan tersebut: apakah backup menyimpan file lebih lama dari penyimpanan utama (hampir selalu ya), apakah karyawan bisa mengakses file selama periode retensi (biasanya ya, untuk debugging), apakah metadata file dicatat dan disimpan lebih lama (sering ya — nama file, ukuran, timestamp, alamat IP), dan apakah konten file dianalisis untuk perbaikan produk atau pelatihan AI.

Untuk PDF resep acak, tidak satupun dari ini penting. Untuk kontrak rahasia, sangat penting.

Permukaan serangan dunia nyata

Ada tiga cara yang masuk akal bagaimana dokumen Anda bisa bocor dari alat online:

1. Layanan sengaja memanen data

Beberapa alat gratis ada secara khusus untuk mengumpulkan konten yang melewatinya. Model bisnisnya adalah “alat gratis, dataset berbayar.” Ini jarang di antara hasil berperingkat teratas (biasanya layanan berdukungan iklan yang sah) tetapi umum di antara long tail dari alat yang lebih kecil. Tanpa mengaudit sumber dan pengaturan server, Anda tidak dapat mengatakan mana yang mana.

2. Pelanggaran keamanan memaparkan file yang tersimpan

Layanan dilanggar. Pada tahun 2020, alat PDF online populer ditemukan menyajikan file dengan URL yang dapat diprediksi - pihak ketiga dapat mengunduh dokumen orang lain hanya dengan menebak. Masalah serupa terjadi di beberapa layanan selama bertahun-tahun. Bahkan jika layanan itu sendiri sepenuhnya sah, file yang duduk di disk mereka adalah target.

3. Akses staf

Untuk debugging, dukungan pelanggan, atau peningkatan produk, staf di sebagian besar alat dapat mengakses file yang diunggah selama jendela retensi mereka. Sebagian besar staf dapat dipercaya; hanya perlu satu yang tidak.

Dokumen mana yang perlu diperhatikan

Tidak semua PDF membawa risiko yang sama. Pikirkan apa yang ada di file sebelum memutuskan apakah upload bisa diterima.

Jangan unggah sama sekali: kontrak yang ditandatangani dan perjanjian hukum, dokumen pajak, laporan keuangan, faktur dengan detail rekening bank, rekam medis dan dokumen asuransi, ID yang dikeluarkan pemerintah dan pindaian paspor, dokumen yang tercakup dalam klausul kerahasiaan dengan klien, dokumen internal perusahaan yang berlabel rahasia, data personal karyawan (GDPR, HIPAA), apa pun yang mengandung nomor KTP, nomor kartu kredit, atau data personal langsung lainnya.

Biasanya tidak masalah untuk diunggah: laporan publik, whitepaper, materi pemasaran, dokumen yang sudah dipublikasikan secara online, resep, jadwal perjalanan, manual pengguna, draft tanpa konten sensitif.

Zona abu-abu — pertimbangkan kasus per kasus: CV/resume (berisi data personal), foto pribadi yang dikonversi ke PDF, korespondensi dengan perusahaan (mungkin berisi nomor akun), makalah akademis (biasanya aman kecuali belum dipublikasikan).

Kalau ragu, anggap dokumen itu sensitif dan gunakan alat lokal.

Alternatif yang lebih aman: pemrosesan lokal

PDF bisa dimanipulasi sepenuhnya di dalam browser, tanpa server yang terlibat sama sekali. Browser modern cukup kuat untuk menjalankan pustaka PDF lengkap secara lokal — PDF Merge tool kami adalah contoh nyatanya.

Cara kerjanya: Anda membuka halaman, browser mengunduh JavaScript alat tersebut. Anda drop PDF ke halaman. Semua pemrosesan — baca, proses, tulis — terjadi di memori browser Anda. Anda mengunduh hasilnya, yang tidak pernah berada di server mana pun selain perangkat Anda sendiri.

File tidak pernah meninggalkan komputer Anda. Tidak ada server di balik layar yang bisa membocorkan, mencatat, atau mengarsipkan konten. Penyedia hosting alat (kami, Cloudflare) tidak punya akses ke apa yang Anda proses — dari sudut pandang kami, Anda mengunduh halaman web statis dan melakukan sesuatu di browser yang tidak bisa kami lihat.

Cara mengetahui jika alat berjalan secara lokal

Beberapa pemeriksaan cepat:

  1. Baca kebijakan privasinya. Alat yang berjalan secara lokal harus secara eksplisit mengatakan “tidak ada file yang diunggah” atau “pemrosesan terjadi di browser Anda.” Kebijakan Privasi kami mengatakan persis itu.
  2. Buka DevTools → tab Network sebelum menggunakan alat. Mulai operasi merge, kompres, atau konversi. Jika Anda melihat permintaan POST yang mengunggah file Anda, itu berbasis server. Jika semua aktivitas jaringan berhenti setelah pemuatan halaman awal, itu lokal.
  3. Uji dengan jaringan terputus. Nonaktifkan Wi-Fi setelah memuat halaman, lalu coba memproses file. Alat lokal akan tetap bekerja. Alat berbasis server akan gagal.

Pemeriksaan DevTools memakan waktu sekitar 30 detik dan merupakan kebiasaan baik untuk dibiasakan.

Trade-off kinerja

Pemrosesan lokal tidak otomatis lebih cepat di semua kondisi.

Sisi baiknya: tidak ada waktu upload/download — untuk file 10 MB di koneksi lambat, itu penghematan nyata. Tidak ada antrean server. Tidak ada batasan ukuran file yang dipaksakan layanan, hanya memori browser Anda yang jadi batasnya. Dan tentu saja, tidak ada risiko privasi.

Sisi kurangnya: browser Anda yang mengerjakan semuanya, jadi file besar memakan CPU lokal. Beberapa operasi — OCR pada halaman pindaian, pemrosesan gambar kompleks — lebih cepat di server dengan hardware khusus. Pemuatan pertama juga mengunduh kode alat yang ukurannya lebih besar dari formulir statis biasa, walaupun biasanya hanya beberapa ratus KB dan di-cache.

Untuk penggabungan, kompresi, dan konversi file sehari-hari, lokal lebih cepat sekaligus lebih aman. Untuk alur kerja berat-industri seperti batch OCR pada 10.000 pindaian, alat berbasis server masih punya tempatnya.

Aturan sederhana

Sebelum mengunggah PDF apa pun ke alat online mana pun, tanyakan pada diri sendiri: apakah saya akan nyaman mengirim dokumen ini lewat email ke orang yang tidak saya kenal?

Kalau ya, upload tidak masalah. Kalau tidak, gunakan alat lokal.

Ini aturan kasar tapi efektif. Sebagian besar dokumen yang terasa mudah diunggah justru adalah yang tidak akan Anda kirim ke orang asing — kontrak itu, formulir pajak itu, spreadsheet pelanggan itu. Alat online pada dasarnya adalah orang asing dengan antarmuka yang nyaman.

PDF Merge tool kami adalah contoh nyata dari alternatif ini. Buka DevTools, pindah ke tab Network, jalankan penggabungan. Anda akan melihat halaman mengunduh JavaScript-nya — dan setelah itu tidak ada aktivitas jaringan lagi. Tidak ada upload, tidak ada panggilan server, tidak ada yang dikirim ke mana pun. File gabungan muncul di folder unduhan Anda tanpa pernah meninggalkan laptop.

Hal yang sama berlaku untuk Image Compressor, JSON Formatter, dan encoder Base64 kami. Semuanya lokal, semuanya privat berdasarkan cara kerjanya. Kalau berguna dan Anda tidak perlu khawatir ke mana file pergi — itu titik awal yang baik.