Door Anoniem: Het risico zit helemaal niet in de QR-code zelf, het risico zit in wat een QR-app ermee doet.
En wat is het verschil voor de gebruiker, je moet met een QR-code net zo voorzichtig zijn als met bijvoorbeeld e-mail.
Dit is iets dat eeuwig in allerlei vormen blijft terugkeren. Toen IE de dominante browser was en ondertussen de steeds beter uitgekristalliseerde webstandaards niet ondersteunden zag je dat een website die standards-compliant was maar het in IE niet deed gezien werd als een probleem met de website en niet als een probleem met IE.
Dat geldt hier ook. Een QR-code doet niets, dat is gewoon een plaatje en de tekst die erin gecodeerd is doet ook niets. Het zijn programma's die iets doen, apps dus. Als die een QR-code onveilig afhandelen is dat een probleem in die app.
Er is verschil voor de gebruiker. De oplossing van maar geen QR-codes scannen is een andere oplossing dan kiezen voor een app die niet allerlei dingen volautomatisch lanceert. Welke oplossing je kiest hangt af van je inzicht. Voor een goed inzicht is het van belang om te benadrukken dat het probleem in de app zit en niet in de QR-code zelf.
Inderdaad, in mijn ogen is dat niet waar. Als een QR-app herkent dat een tekst een URL is dan moet die niet blind gaan laden maar de gebruiker laten zien: deze URL staat in de QR-code, met een mogelijkheid om die na inspectie ook te laden.
Op deze website posten heel wat mensen URLs zonder de url-tag te gebruiken: gewoon kale tekst die een URL weergeeft. Beschouw je dat als onveilig? Nee? En als webbrowsers zo stupide gebouwd zouden zijn dat ze alles wat eruit ziet als een URL meteen zouden gaan laden, zodat drive-by-downloads en dergelijke meteen hun schade zouden aanrichten? Zou je dan security.nl een stomme website vinden omdat die geen URLs blokkeert of zou je zo'n webbrowser een stom programma vinden omdat die er stomme dingen mee doet? Ik vermoed het laatste. Al die QR-apps die websites automatisch laden zijn werkelijk zo stom.
Ik herhaal: al die QR-apps die websites automatisch laden zijn werkelijk zo stom. Vraag je dan nogmaals af of het probleem erin zit dat er een URL als tekst (QR-gecodeerd) ergens wordt gepost of dat er software is die die URL gaat laden.
En ja, er zijn zat gebruikers voor wie het onderscheid ver boven hun pet gaat. De oplossing daarvoor is niet om voor hun begrip het probleem niet te benoemen maar QR-codes dan maar als onveilig te gaan bestempelen. Dan ben je op dezelfde manier bezig met het beruchte slotje in de adresbalk van de webbrowser, en de misinformatie dat slotje==veilig. QR==onveilig is van hetzelfde niveau: je kan op je vingers natellen dat het meer misverstanden oplevert dan het oplost.
Wat is wel de oplossing? Consequent hameren op wat werkelijk het probleem is, QR-apps die onverantwoordelijk gedrag vertonen ter verantwoording roepen, de wereld duidelijk maken dat ze niet deugen. En de wereld duidelijk maken dat maximaal gemak niet altijd de juiste keuze is.