パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

経産省、地方交通機関向けにQRコードを使った共通決済システムを検討」記事へのコメント

  • by Anonymous Coward

    関連リンク
    「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp]

    こういうのがあったのにQRコードを使わせる時点で何か別の目的があるように思えてしまいます。

    • by Anonymous Coward

      リーダーが仕様外の部分使ってやらかしてただけであって、QRコードそのものの問題じゃないでしょうに

      • by Anonymous Coward

        QRコードの非公開仕様としてアクセス解析機能を含ませることができ、リーダーに指示を出せるって話ですよ。
        つまりQRコードには、使用者が意図した情報以外のものも含めることが可能であるってことで、
        QRコードそのものの問題では?

        • by Anonymous Coward on 2018年10月23日 16時47分 (#3502973)

          ちょっと違う。

          QRコードの仕様として、バイナリを収納する事が出来る。
          他にも数字や英字、漢字モードってのがあるけど、例えば漢字モードは半角英数が入らないとかで使い物にならないので
          今のQRコードジェネレータの大半はUTF-8にしてバイナリモードで突っ込んでる。

          例のサービスは、バイナリモードで突っ込んだ文字列の最後に0x00 0x11 0x22 0x33 …と、null文字+識別子 を突っ込んでいた。
          普通のQRコードリーダではnull文字の後を切り捨てるか、ケツに豆腐が付いてるとしか見えないからバレなかった。
          ただ、バイナリを読み込めるリーダーなら一発でわかる。

          QRコードに秘密データを入れる別の方法として
          QRコードは正方形のコードを作るためデータを一定バイト数にpaddingする仕様があって
          そのpaddingする領域のバイト列は本来定義されてるんだけど
          その仕様を無視して任意のバイト列を仕込む方法がある。

          普通のリーダーはpaddingの部分なんて読まないからこっちのほうが深刻。
          それに、こっちはpaddingの部分も読み込む様にしたリーダーじゃないと気付かない。
          前述のバイナリにヌル文字突っ込む方法は、既存のQRコードライブラリでもバイナリモードにすれば分かるけど
          paddingまでしっかり読むライブラリはまず無いから、それを作る所から始める必要がある

          親コメント
          • by Anonymous Coward

            QRコード誕生時点の目的(工場の部品管理等)からして、あまりセキュアであることを求める用途に使うものじゃないと思う
            そういうのはICカードに任せたほうがいいと思う

            バックドアはICカードのほうが暗号化領域に裏コード仕掛けることもできて、それは部外者にはアクセス困難だからQRコードのほうがマシかもしれないが

犯人はmoriwaka -- Anonymous Coward

処理中...