アカウント名:
パスワード:
関連リンク「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp]
こういうのがあったのにQRコードを使わせる時点で何か別の目的があるように思えてしまいます。
バスや電車に乗ろうっていうのに位置情報を気にするのか?乗車/下車の駅/停留所が分からないと運賃請求できないんだからそんなのは気にしても仕方がない気がするのだが……
リーダーが仕様外の部分使ってやらかしてただけであって、QRコードそのものの問題じゃないでしょうに
QRコードの非公開仕様としてアクセス解析機能を含ませることができ、リーダーに指示を出せるって話ですよ。つまりQRコードには、使用者が意図した情報以外のものも含めることが可能であるってことで、QRコードそのものの問題では?
ちょっと違う。
QRコードの仕様として、バイナリを収納する事が出来る。他にも数字や英字、漢字モードってのがあるけど、例えば漢字モードは半角英数が入らないとかで使い物にならないので今のQRコードジェネレータの大半はUTF-8にしてバイナリモードで突っ込んでる。
例のサービスは、バイナリモードで突っ込んだ文字列の最後に0x00 0x11 0x22 0x33 …と、null文字+識別子 を突っ込んでいた。普通のQRコードリーダではnull文字の後を切り捨てるか、ケツに豆腐が付いてるとしか見えないからバレなかった。ただ、バイナリを読み込めるリーダーなら一発でわかる。
QRコードに秘密データを入れる別の方法としてQRコードは正方形のコードを作るためデータを一定バイト数にpaddingする仕様があってそのpaddingする領域のバイト列は本来定義されてるんだけどその仕様を無視して任意のバイト列を仕込む方法がある。
普通のリーダーはpaddingの部分なんて読まないからこっちのほうが深刻。それに、こっちはpaddingの部分も読み込む様にしたリーダーじゃないと気付かない。前述のバイナリにヌル文字突っ込む方法は、既存のQRコードライブラリでもバイナリモードにすれば分かるけどpaddingまでしっかり読むライブラリはまず無いから、それを作る所から始める必要がある
QRコード誕生時点の目的(工場の部品管理等)からして、あまりセキュアであることを求める用途に使うものじゃないと思うそういうのはICカードに任せたほうがいいと思う
バックドアはICカードのほうが暗号化領域に裏コード仕掛けることもできて、それは部外者にはアクセス困難だからQRコードのほうがマシかもしれないが
いやいや、QRコードにはいろんな情報を埋め込めるだけで、それを受け取ってどんな処理をするか決めるのはリーダー側。そういうトラッキング機能のないリーダーを使えばいいだけの話。
実際、このネタでも、同じQR読んでも、他のリーダーじゃ位置情報送らないはずだからね。
WeChat PayやAlipayのQR決済に対応しやすくするためとか?
# もしくはそっち系からシステムの売り込みがあったとか
3ヶ月前くらいに「日本はスイカで遅れている、中国はQRで進んでいる」と一部が盛り上がっていたから、それが超特急で検討された結果でしょ。なお中国では規制が入って既に静的QRコードはほぼ廃止、QRコード方式の利点だった既存決済システムの中抜き回避も禁止されたとか。
ネタ出しの時点で潰しといてほしいところ。先日のサマータイムといい。。。
はー、成長著しいからでしょうが、トレンドと規制の遷移が目まぐるしいですね。「まだ〇〇使ってんのー、遅れてるー」と煽られたからって、思考停止して真に受けると馬鹿をみるパターンか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
なんで今さらQRコード (スコア:2, 興味深い)
関連リンク
「公式」QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される [srad.jp]
こういうのがあったのにQRコードを使わせる時点で何か別の目的があるように思えてしまいます。
Re:なんで今さらQRコード (スコア:1)
バスや電車に乗ろうっていうのに位置情報を気にするのか?
乗車/下車の駅/停留所が分からないと運賃請求できないんだからそんなのは気にしても仕方がない気がするのだが……
Re: (スコア:0)
リーダーが仕様外の部分使ってやらかしてただけであって、QRコードそのものの問題じゃないでしょうに
Re: (スコア:0)
QRコードの非公開仕様としてアクセス解析機能を含ませることができ、リーダーに指示を出せるって話ですよ。
つまりQRコードには、使用者が意図した情報以外のものも含めることが可能であるってことで、
QRコードそのものの問題では?
Re:なんで今さらQRコード (スコア:3, 参考になる)
ちょっと違う。
QRコードの仕様として、バイナリを収納する事が出来る。
他にも数字や英字、漢字モードってのがあるけど、例えば漢字モードは半角英数が入らないとかで使い物にならないので
今のQRコードジェネレータの大半はUTF-8にしてバイナリモードで突っ込んでる。
例のサービスは、バイナリモードで突っ込んだ文字列の最後に0x00 0x11 0x22 0x33 …と、null文字+識別子 を突っ込んでいた。
普通のQRコードリーダではnull文字の後を切り捨てるか、ケツに豆腐が付いてるとしか見えないからバレなかった。
ただ、バイナリを読み込めるリーダーなら一発でわかる。
QRコードに秘密データを入れる別の方法として
QRコードは正方形のコードを作るためデータを一定バイト数にpaddingする仕様があって
そのpaddingする領域のバイト列は本来定義されてるんだけど
その仕様を無視して任意のバイト列を仕込む方法がある。
普通のリーダーはpaddingの部分なんて読まないからこっちのほうが深刻。
それに、こっちはpaddingの部分も読み込む様にしたリーダーじゃないと気付かない。
前述のバイナリにヌル文字突っ込む方法は、既存のQRコードライブラリでもバイナリモードにすれば分かるけど
paddingまでしっかり読むライブラリはまず無いから、それを作る所から始める必要がある
Re: (スコア:0)
QRコード誕生時点の目的(工場の部品管理等)からして、あまりセキュアであることを求める用途に使うものじゃないと思う
そういうのはICカードに任せたほうがいいと思う
バックドアはICカードのほうが暗号化領域に裏コード仕掛けることもできて、それは部外者にはアクセス困難だからQRコードのほうがマシかもしれないが
Re: (スコア:0)
いやいや、QRコードにはいろんな情報を埋め込めるだけで、
それを受け取ってどんな処理をするか決めるのはリーダー側。そういうトラッキング機能のないリーダーを使えばいいだけの話。
実際、このネタでも、同じQR読んでも、他のリーダーじゃ位置情報送らないはずだからね。
Re: (スコア:0)
WeChat PayやAlipayのQR決済に対応しやすくするためとか?
# もしくはそっち系からシステムの売り込みがあったとか
Re:なんで今さらQRコード (スコア:4, 参考になる)
3ヶ月前くらいに「日本はスイカで遅れている、中国はQRで進んでいる」と一部が盛り上がっていたから、それが超特急で検討された結果でしょ。
なお中国では規制が入って既に静的QRコードはほぼ廃止、QRコード方式の利点だった既存決済システムの中抜き回避も禁止されたとか。
Re:なんで今さらQRコード (スコア:2)
ネタ出しの時点で潰しといてほしいところ。
先日のサマータイムといい。。。
Re: (スコア:0)
はー、成長著しいからでしょうが、トレンドと規制の遷移が目まぐるしいですね。
「まだ〇〇使ってんのー、遅れてるー」と煽られたからって、思考停止して真に受けると馬鹿をみるパターンか。