In deze podcast gaat het over het "risico" van QR-codes, omdat je niet kunt zien waar je naartoe gaat (beetje afhankelijk van de app waarmee je hem scant). Een aantal van jullie gaf aan hier nog nooit eerder over nagedacht te hebben. In de infosec-community is dit al wel langer een hot topic maar merk ik dat de meningen zijn verdeeld. Zelf zit ik ook meer in het kamp van pas op met weren vanwege schijnveiligheid.
Het klopt dat wat Arnoud stelt dat als je bv een valse QR-code ergens overheen plakt of zomaar verspreidt je mensen kunt naar jouw site en/of betaling kunt lokken. Maar hier durf ik te stellen: het grootste risico/schade ligt aan de kant van de aanbieder van de QR-code, d.w.z. de ondernemer/verkoper. Net zoals er niet met zijn pin-automaat gerommeld moet zijn, moet dat ook niet met zijn QR-code.
De vraag is welk alternatief veiliger is.
- Controle op de juiste URL kan ook niet met een URL-shortener. Daar zie je soortgelijke discussies gevoerd worden: sommige bedrijven weren ze maar in de praktijk worden ze toch veel gebruikt.
- Daarnaast zegt een volledige uitgetypte link ook niet altijd iets:
-- Is bv partijnieuwsociaalcontract.nl "de echte" website of is dat "nscpartij.nl" - dat weet ik bij het op papier lezen van de link ook niet.
-- Of neem een link naar een willekeurige betaalprovider: die zal voor de gemidelde consument ook niets zeggen: welke niet-tweaker kent bv Adyen of MultiSafePay?
M.a.w: door meer informatie te hebben (d.w.z. de volledige URL) denken we vaak meer te weten, of dat in de praktijk zo is kun je je afvragen.
@
WoutF @
arnoudwokke
:strip_exif()/i/2006208068.jpeg?f=fpa)
:strip_exif()/i/2004648114.jpeg?f=fpa)
:strip_icc():strip_exif()/u/140697/crop6180fb9103afa_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/856937/crop5f2131f40f511_cropped.jpeg?f=community){kind=small}
/u/1233292/crop62f4a6b865ddc_cropped.png?f=community){kind=small}
/u/67020/avatar_ec.png?f=community){kind=avatar}
