QR Code vs 1D条形码安全

Question

我需要为当地的推广商做一个售票系统。我已经完成了条形码的大部分工作，但这是相当旧的。我想升级到使用二维码。我的安全问题是在扫描二维码时。

扫描二维码似乎是有效的，但如果有人创建了自己的二维码，并使用系统用于验证代码的不同URL的URL目标，并输出与我用来验证二维码的成功扫描的二维码相同的信息，该怎么办？

这种情况发生的可能性很小。但客户有非常重大的事件，如果发生这种情况，可能会有麻烦。

是不是所有我扫描的二维码都会被重定向到我的页面，而我只是派生出url中的令牌来与我的数据库中的令牌进行比较？

希望我试图解释的内容是可以理解的，任何帮助都将不胜感激。

致以敬意，

P

Answer 1

首先:任何类型的条形码都没有固有的安全性，无论是二维码还是其他。它们只是一种使某些数据可在机器上读取的奇特方式。

第二:二维码不一定要包含URL。它们可以包含URL，在广告中通常是这样使用的，但没有任何东西迫使它们以这种方式使用。

第三:即使你扫描一个二维码，它包含一个URL，你也没有理由需要在web浏览器中访问该URL。事实上，如果你在一个固定用途的应用程序中使用二维码(就像你在这里做的那样)，你可能不应该这样做。查看URL的文本，检查它是否符合正确的模式，并从那里提取用户的ID。

Answer 2

如果你将线性条形码与二维码进行比较，那么显然你最好使用二维码，因为：

• 二维码支持纠错，即如果部分损坏(根据配置，高达25% )，则将被解码；
• 它得到硬件和软件的广泛支持(包括与线性条形码相比，手机每英寸的信息密度；

据我所知，你担心可能的假服务器+假门票与假二维码包含URL的假服务器。

在这种情况下，我会考虑为来自服务器的回复实现数字签名或加密，以便扫描应用程序可以验证它们是否来自可信的服务器：

• 使用扫描应用程序已知的密码对条形码中的字符串进行encrypt的最简单(但不太安全)的方式，以便扫描应用程序可以解密响应。
• 对来自服务器的sign响应实施数字签名，如果这些响应来自可信服务器，则对这些响应进行验证。
• 使用SSL，因此服务器与应用程序之间的数据交换是加密的

此外，据我所知，也有一些情况下，车票被影印，原始车主无法使用原始车票，因为以前使用的是带有假条形码的假车票。因此，通常建议不要在社交媒体上发布门票照片。