Narzędzia PDF: przeglądarka kontra desktop — porównanie prywatności

Trzy architektury

1. Webowe narzędzie po stronie serwera

Wgrywasz PDF na stronę. Gdzieś tam serwer wykonuje przetwarzanie — łączenie, dzielenie, kompresję — i zwraca wynik. Z punktu widzenia prywatności Twój plik został przesłany i zapisany, choćby krótko, na infrastrukturze poza Twoją kontrolą. Polityka prywatności strony może obiecywać usunięcie w ciągu godziny, ale nie masz jak tego zweryfikować i już ufasz zarówno intencjom strony, jak i jej postawie bezpieczeństwa.

2. Webowe narzędzie po stronie przeglądarki („przetwarzane lokalnie")

Strona ładuje JavaScript wykonujący konwersję w całości w karcie Twojej przeglądarki. Plik jest otwierany przez element file-input, przetwarzany JavaScriptem na Twoim CPU, a wynik jest generowany i pobierany bezpośrednio. Serwer strony serwuje tylko statyczne zasoby. PDF nigdy nie przechodzi przez sieć.

3. Aplikacja desktopowa

Instalujesz aplikację natywną — Adobe Acrobat, PDF-XChange, Foxit, lub open-source jak LibreOffice czy Master PDF Editor. Przetwarzanie dzieje się na Twojej maszynie. Plik nie dotyka internetu w ogóle (chyba że aplikacja dzwoni do domu po telemetrię).

Różnice w zaufaniu

Jak zweryfikować obietnicę „w przeglądarce"

Dobra wiadomość: różnica między przetwarzaniem po stronie serwera a po stronie przeglądarki jest obserwowalna z Twojej własnej maszyny, narzędziami które każda przeglądarka dostarcza:

1. Otwórz narzędzie w normalnej karcie.
2. Otwórz DevTools (F12) i przejdź do zakładki Network.
3. Kliknij „clear" by usunąć wcześniejsze żądania.
4. Przetwórz mały testowy PDF.
5. Obserwuj Network. Jeśli narzędzie naprawdę działa w przeglądarce, nie zobaczysz żądania przesyłającego zawartość pliku. Będą żądania o statyczne zasoby, skrypty reklam i analitykę — to normalne — ale nic wielkości Twojego PDF wychodzącego z karty.

Jeśli narzędzie deklaruje przetwarzanie lokalne, ale widzisz multi-megabajtowy upload do /api/process lub podobnego, deklaracja jest fałszywa. To wiarygodne sprawdzenie zajmuje minutę.

Gdzie strona-przeglądarka ma ograniczenia

Narzędzia po stronie przeglądarki nie zawsze są właściwą odpowiedzią. Niektóre operacje są zbyt wymagające pamięciowo, zbyt wolne bez kodu natywnego lub po prostu niemożliwe do zrealizowania w JavaScripcie. Konkretnie: OCR dużych skanów, dokumenty wielkości setek MB, operacje wymagające czcionek systemowych, regulowane prawnie workflow.

Czerwone flagi w polityce prywatności

• „Pliki mogą być tymczasowo przechowywane na naszych serwerach" — tłumaczenie: Twój plik się wgrywa, niezależnie od marketingowej narracji.
• Niejasne klauzule udostępniania danych stronom trzecim — nawet narzędzia po stronie przeglądarki czasem dzielą się nazwami plików, liczbą stron lub innymi metadanymi.
• Brak wzmianki o ciasteczkach reklamowych — niemal każda strona finansowana reklamami ich używa; jeśli polityka tego nie wymienia, polityka jest niekompletna.
• „Możemy przetwarzać Twoje dane by ulepszyć usługi" — dla narzędzia po stronie przeglądarki to nie powinno dotyczyć treści Twojego pliku.

Uczciwe podsumowanie

1. Najbardziej prywatne: renomowane open-source narzędzia desktopowe, używane offline.
2. Niemal tak samo prywatne: webowe narzędzia po stronie przeglądarki, których obietnicę można zweryfikować w DevTools.
3. Mniej prywatne: komercyjne narzędzia desktopowe wysyłające telemetrię, ale nigdy zawartości pliku.
4. Znacznie mniej prywatne: narzędzia po stronie serwera — nawet renomowane, bo nie da się zweryfikować usuwania.
5. Unikaj: narzędzi z mglistą polityką prywatności i niejasnym modelem biznesowym.

Pełna wersja angielska: English version.