アカウント名:
パスワード:
つってもURLをコピペ検索してみるくらいしか手は無いよね最初っからサーチエンジン経由にしれスマホ内で完結しブラウザ呼び出すsearch://プロトコルとかさ
以前からQRコード、特にURLを記述するQRコードには、認証機能を付けるように!と強く提案している(例えば今年2月21日の朝日新聞紙上での「QRコード誕生:という記事)のですが by 開発者
HTTPSの証明書と同じ(本質的に保護できているのはドメイン名のみ)で、誰が何を保証する認証なのかって考えるとあまり意味がないような気が…
認証付きQRコードの発行権限を絞ると誰も使えないから旧式のを使われるし、発行権限をゆるくするとオレオレ証明書になって意味がないし、TLS証明書のCNを流用するのなら程良い塩梅だけどTLSの普及率的にどうせ旧式も残って使われる。
そもそもが「目的に対して発行者が信用できない状況で提示されたコード類は信用できない」というのが本質の筈。目的別になら信用できる発行者が限定されるけど、潜在的な発行者では広すぎて意味がない。目的別に信用できる発行者のもののみ受理させるのなら、専用アプリでコードを読めば良いのでURLである意味がない。目的別に信用できる発行者のもので有るかを利用者に確認させるだけならドメインで十分。(パラメータ部分の改竄については、パラメータを認証したシグネチャをパラメータに加えれば良い)
「URL読み込んだならドメイン名くらいは確認しろ」「コードがすり替えられている可能性があるなら、支払いの類では飛び先で提示される情報をよく確認しろ」って注意喚起は必要だろうけど、認証だ何だは無駄なコストを方方に強いるだけで無意味じゃないかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
内容の確認 (スコア:0)
つってもURLをコピペ検索してみるくらいしか手は無いよね
最初っからサーチエンジン経由にしれ
スマホ内で完結しブラウザ呼び出すsearch://プロトコルとかさ
Re: (スコア:0)
以前からQRコード、特にURLを記述するQRコードには、認証機能を付けるように!と強く提案している(例えば今年2月21日の朝日新聞紙上での「QRコード誕生:という記事)のですが by 開発者
Re:内容の確認 (スコア:0)
HTTPSの証明書と同じ(本質的に保護できているのはドメイン名のみ)で、
誰が何を保証する認証なのかって考えるとあまり意味がないような気が…
認証付きQRコードの発行権限を絞ると誰も使えないから旧式のを使われるし、
発行権限をゆるくするとオレオレ証明書になって意味がないし、
TLS証明書のCNを流用するのなら程良い塩梅だけどTLSの普及率的にどうせ旧式も残って使われる。
そもそもが「目的に対して発行者が信用できない状況で提示されたコード類は信用できない」というのが本質の筈。
目的別になら信用できる発行者が限定されるけど、潜在的な発行者では広すぎて意味がない。
目的別に信用できる発行者のもののみ受理させるのなら、専用アプリでコードを読めば良いのでURLである意味がない。
目的別に信用できる発行者のもので有るかを利用者に確認させるだけならドメインで十分。
(パラメータ部分の改竄については、パラメータを認証したシグネチャをパラメータに加えれば良い)
「URL読み込んだならドメイン名くらいは確認しろ」
「コードがすり替えられている可能性があるなら、支払いの類では飛び先で提示される情報をよく確認しろ」
って注意喚起は必要だろうけど、認証だ何だは無駄なコストを方方に強いるだけで無意味じゃないかと。