アカウント名:
パスワード:
関連リンク「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp]
こういうのがあったのにQRコードを使わせる時点で何か別の目的があるように思えてしまいます。
リーダーが仕様外の部分使ってやらかしてただけであって、QRコードそのものの問題じゃないでしょうに
QRコードの非公開仕様としてアクセス解析機能を含ませることができ、リーダーに指示を出せるって話ですよ。つまりQRコードには、使用者が意図した情報以外のものも含めることが可能であるってことで、QRコードそのものの問題では?
ちょっと違う。
QRコードの仕様として、バイナリを収納する事が出来る。他にも数字や英字、漢字モードってのがあるけど、例えば漢字モードは半角英数が入らないとかで使い物にならないので今のQRコードジェネレータの大半はUTF-8にしてバイナリモードで突っ込んでる。
例のサービスは、バイナリモードで突っ込んだ文字列の最後に0x00 0x11 0x22 0x33 …と、null文字+識別子 を突っ込んでいた。普通のQRコードリーダではnull文字の後を切り捨てるか、ケツに豆腐が付いてるとしか見えないからバレなかった。ただ、バイナリを読み込めるリーダーなら一発でわかる。
QRコードに秘密データを入れる別の方法としてQRコードは正方形のコードを作るためデータを一定バイト数にpaddingする仕様があってそのpaddingする領域のバイト列は本来定義されてるんだけどその仕様を無視して任意のバイト列を仕込む方法がある。
普通のリーダーはpaddingの部分なんて読まないからこっちのほうが深刻。それに、こっちはpaddingの部分も読み込む様にしたリーダーじゃないと気付かない。前述のバイナリにヌル文字突っ込む方法は、既存のQRコードライブラリでもバイナリモードにすれば分かるけどpaddingまでしっかり読むライブラリはまず無いから、それを作る所から始める必要がある
QRコード誕生時点の目的(工場の部品管理等)からして、あまりセキュアであることを求める用途に使うものじゃないと思うそういうのはICカードに任せたほうがいいと思う
バックドアはICカードのほうが暗号化領域に裏コード仕掛けることもできて、それは部外者にはアクセス困難だからQRコードのほうがマシかもしれないが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
なんで今さらQRコード (スコア:2, 興味深い)
関連リンク
「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp]
こういうのがあったのにQRコードを使わせる時点で何か別の目的があるように思えてしまいます。
Re: (スコア:0)
リーダーが仕様外の部分使ってやらかしてただけであって、QRコードそのものの問題じゃないでしょうに
Re: (スコア:0)
QRコードの非公開仕様としてアクセス解析機能を含ませることができ、リーダーに指示を出せるって話ですよ。
つまりQRコードには、使用者が意図した情報以外のものも含めることが可能であるってことで、
QRコードそのものの問題では?
Re:なんで今さらQRコード (スコア:3, 参考になる)
ちょっと違う。
QRコードの仕様として、バイナリを収納する事が出来る。
他にも数字や英字、漢字モードってのがあるけど、例えば漢字モードは半角英数が入らないとかで使い物にならないので
今のQRコードジェネレータの大半はUTF-8にしてバイナリモードで突っ込んでる。
例のサービスは、バイナリモードで突っ込んだ文字列の最後に0x00 0x11 0x22 0x33 …と、null文字+識別子 を突っ込んでいた。
普通のQRコードリーダではnull文字の後を切り捨てるか、ケツに豆腐が付いてるとしか見えないからバレなかった。
ただ、バイナリを読み込めるリーダーなら一発でわかる。
QRコードに秘密データを入れる別の方法として
QRコードは正方形のコードを作るためデータを一定バイト数にpaddingする仕様があって
そのpaddingする領域のバイト列は本来定義されてるんだけど
その仕様を無視して任意のバイト列を仕込む方法がある。
普通のリーダーはpaddingの部分なんて読まないからこっちのほうが深刻。
それに、こっちはpaddingの部分も読み込む様にしたリーダーじゃないと気付かない。
前述のバイナリにヌル文字突っ込む方法は、既存のQRコードライブラリでもバイナリモードにすれば分かるけど
paddingまでしっかり読むライブラリはまず無いから、それを作る所から始める必要がある
Re: (スコア:0)
QRコード誕生時点の目的(工場の部品管理等)からして、あまりセキュアであることを求める用途に使うものじゃないと思う
そういうのはICカードに任せたほうがいいと思う
バックドアはICカードのほうが暗号化領域に裏コード仕掛けることもできて、それは部外者にはアクセス困難だからQRコードのほうがマシかもしれないが