Как изменить qr код чтобы он не читался

QR-код, да не тот

Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.

QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.

Что такое QR-коды и как ими пользоваться

В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.

Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.

Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.

Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.

Как киберпреступники используют QR-коды

Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.

Фальшивые ссылки

Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.

Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.

Закодированные в QR-коде команды

Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:

Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.

Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.

Как киберпреступники маскируют QR-коды

Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.

Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.

Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.

Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.

QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.

Как не попасть в беду с QR-кодом

Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:

Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.

Источник

Статья Как скрыть данные в QR-коде методом LSB

Сегодня рассмотрим один из примитивных, но рабочих способов сокрытия информации в QR коде методом LSB. Содержание этого способа заключается в следующем: QR-код состоит из чёрных квадратов, расположенных в квадратной сетке на белом фоне, которые считываются с помощью устройств обработки изображений. Проще говоря, QR код это совокупность пикселей белого и черного цвета определенной последовательности.

Каждый пиксель имеет свой уникальный битовый код. Метод LSB (наименее значащий бит) подразумевает собой замену последних значащих битов в контейнере (изображения, аудио или видеозаписи) на биты скрываемого сообщения. Разница между пустым и заполненным контейнерами должна быть не ощутима для органов восприятия человека.

Суть заключается в следующем: имеется изображение трех пикселей RGB со значениями [0, 0, 0], каждый из них – абсолютно черный цвет. Если мы запишем в канал R значение, равное не нулю, а единице, то для нашего восприятия цвет не поменяется. Таким образом, в канал R изображения из трех пикселей мы можем спрятать три бита информации. Так же и в следующие каналы – по три бита в каждый. Получается 8 сочетаний нулей и единиц в группе по три. В конечном итоге мы сможем спрятать 24 бита информации, либо 3 байта.

Стоит отметить недостатки метода. Методы LSB являются неустойчивыми ко всем видам атак и могут быть использованы только при отсутствии шума в канале передачи данных. Обнаружение LSB-кодированного стего осуществляется по аномальным характеристикам распределения значений диапазона младших битов отсчётов цифрового сигнала.

Изменив методом LSB черный цвет со значения «0» на значение «1» для нулевого бита и на значение «2» для бита единицы, мы сможем внедрить попиксельно определенный объем данных.

Ниже представлен QR-код, в котором уже закодированы данные поверх сообщения.

Если визуализировать данный метод, то получается следующее:

Используя специализированный сайт «ФотоФорензик» выявить данный метод также затруднительно:

Zsteg также не выявил метод LSB:

Первостепенно установим необходимую библиотеку Pillow, позволяющую работать с изображениями. Данная библиотека является форком, то есть ответвлением, оригинальной библиотеки PIL. Этот форк был принят в качестве замены оригинальной библиотеки и включён в некоторые дистрибутивы Linux по умолчанию.

Для установки необходимых зависимостей воспользуйтесь командой от имени администратора:

Теперь приступим к разбору алгоритма нашей программы.

Импортируем библиотеки в скрипт:

Image, ImageDraw являются компонентами библиотеки PIL для взаимодействия с изображениями на уровне чтения, создания и редактирования.

Модуль qrcode нужен нам для генерации нужных размеров QR-кода.

Объявляем класс qrHide:

Объявляем следующую немаловажную для нас функцию createQR, которая будет генерировать наш стегоконтейнер в виде QR-кода. Указываем параметры, которые будем передавать функции при ее вызове – containText и QRFileName.

Параметр containText содержит тот текст, на основе которого будет генерация QR-кода, в свою очередь параметр QRFileName отвечает за имя файла, в который будет записан QR-код.

Далее устанавливаем равенство двух внутренних переменных self.a, self.b и containText, QRFileName соответственно. Это обуславливается удобством чтения кода и переменных.

Обработка ошибок будет делаться через связку try-except:

Источник

Вкуриваем QR. Как сделать QR-код с сюрпризом

Содержание статьи

QR-код (англ. Quick Response Code — код быстрого реагирования) — это матричный или двумерный штрих-код, который может содержать до 4296 символов ASCII. То есть, проще говоря, картинка, в которой зашифрован текст.

История вектора атаки

В мае 2013 года специалисты компании по сетевой безопасности Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Исследователи сообщили в Google о данной уязвимости, и ее закрыли буквально за несколько недель. К счастью, исправить успели до того, как ее можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.

В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплоит, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.

Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов.

Вот как это выглядело.

Вариант кода, который блокировался защитным механизмом сканера Модифицированный URI, который программа не могла отфильтровать

Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).

Самое опасное здесь — что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности. Поэтому всегда будь внимателен!

Если у тебя нет сканера кодов, но уйма свободного времени — можно попробовать расшифровать код вручную. Инструкция есть на Хабре.

QRGen — каждому по коду

Для демонстрации средств работы с QR-кодами я буду использовать Kali Linux 2019.2 с установленным Python версии 3.7 — это необходимо для корректной работы утилит.

WARNING

Не забывай про уголовную ответственность за создание и распространение вредоносных программ, к которым в широком смысле относятся и наши «заряженные» QR-коды.

Начнем с утилиты QRGen, которая позволяет создавать QR-коды с закодированными в них скриптами. Копируем репозиторий и переходим в папку с содержимым.

QRGen требует Python версии 3.6 и выше. Если возникает ошибка, попробуй обновить интерпретатор.

Устанавливаем все зависимости и запускаем сам скрипт.

Возможные атаки

Теперь давай посмотрим на примеры из каждой категории, а также разберемся, какой урон и каким устройствам они могут нанести.

Посмотреть текстовые файлы со всеми вариантами «начинки» QR-кодов ты можешь в папке words (они разделены по категориям, указанным выше).

Теперь пара слов о последствиях атак подобными нагрузками.

Первый класс атак — SQL-инъекции — используют при взломе БД и нарушении работы веб-сайтов. Например, запрос может вызывать зависание сайта.

Следующий пример (под номером 2) демонстрирует эксплуатацию XSS-уязвимости при атаке на веб-приложения с использованием SVG (Scalable Vector Graphic). К чему может привести XSS, ты, думаю, и без меня прекрасно знаешь, так что подробно на этом останавливаться не буду.

Третий пункт выводит на экран жертвы содержимое файла /etc/passwd : список аккаунтов Linux-based-систем и дополнительную информацию о них (раньше — хеши паролей этих учетных записей). В подобных случаях обычно стараются получить /etc/shadow и конфигурацию сервера, но все очень сильно зависит от цели, так что какие файлы читать — решай сам.

Четвертый пример представляет собой выражение, которое вызовет переполнение буфера (buffer overflow). Оно возникает, когда объем данных для записи или чтения больше, чем вмещает буфер, и способно вызвать аварийное завершение или зависание программы, ведущее к отказу в обслуживании (denial of service, DoS). Отдельные виды переполнений дают злоумышленнику возможность загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется, что делает эту ошибку довольно опасной.

Атаки форматной строки (пример 6) — это класс уязвимостей, который включает в себя предоставление «специфичных для языка маркеров формата» для выполнения произвольного кода или сбоя программы. Говоря человеческим языком, это класс атак, при которых приложение некорректно очищает пользовательский ввод от управляющих конструкций, из-за чего эти конструкции в результате исполняются. Если ты программировал на С, то, конечно, помнишь те интересности с выводом переменных через printf : надо было в первом аргументе (который строка) указать на тип выводимого значения ( %d для десятичного числа и так далее).

Обрати внимание, что в качестве тестового веб-приложения используется DVWA (Damn Vulnerable Web Application), который был специально разработан для обучения пентесту. Многие атаки на веб-приложения можно отработать на нем.

Практика

А сейчас перейдем к практике — протестируем эту утилиту сами.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник

Что же не так с QR-кодами?

Прекрасная картинка неизвестного автора

Я долго не писал эту статью. На протяжении полугода я регулярно практиковал попытки пройти в поликлинике к докторам без очереди и хамское вождение с московскими номерами в глубинке, чтобы стать толстокожим и невосприимчивым к ненависти (даже НЕНАВИСТИ. 1), которая прольётся на меня после этой статьи. Это неизбежно, так как Хабр — гик-ориентированный ресурс, а QR-коды — гик-технология. Они уже получили широкое распространение и теплую поддержку от гиков Хабра, так что будущее у меня в мрачных оттенках. Не удивлюсь бритвенным лезвиям в почтовом ящике и молчаливому дыханию в телефонную трубку от полуночных незнакомцев.

Видимо, для апологетов QR-кодов эта технология — возможностью приблизить будущее, шагнуть в прекрасный мир завтрашнего дня с дополненной реальностью из всех этих многочисленных видеороликов и фильмов про будущее с прозрачными дисплеями, что-то разобрать на которых можно только при отсутствии просвечивающегося пёстрого бабушкина ковра на стене. Гики радуются любому новому примеру использованию QR-кода, даже если это помогающая рассказывать сказки детская пижама с QR-кодами, надгробия, коровы. И с мечтательным видом прогнозируют, что в будущем QR-коды будут повсеместно. По моему мнению, такой вариант событий можно описывать в антиутопиях, что-нибудь вроде «Мы» Замятина.

Для создания видимости аргументов в защиту своего мнения я мог бы устроить тут филиал wtfqrcodes.com и со злыми комментариями публиковать самые неудачные и даже опасные случаи использования QR-кодов, завершив всё это ссылкой на понятную инструкцию. Но эта демагогия не поможет прийти к цели — понять суть проблемы QR-кодов, так что passive-aggressive mod off, и давайте разберемся.

История, причины появления, область применения

Как и полагается, сначала немного скучное интро с известной всем информацией. Штрихкод изобретался (источником вдохновения была азбука Морзе) для автоматизации маркировки товара и последующего считывания информации техническими средствами. Именно эти функции долгие годы доблестно исполняет штрихкод формата EAN-13, известный нам как «обычный» штрихкод. Информация для автоматики (полосы) дублируется в понятном человеку виде (цифры).

Такие одномерные (линейные) коды вмещают лишь немного информации (до 20—30 символов), и гик-нация японцев вознегодовала от приближающегося переполнения буфера и вообще, требуем больше! Так и родились двухмерные (матричные) коды, самым популярным из которых и стал QR-код. Различия с одномерным штрихкодом:
1. увеличение объема информации на пару порядков;
2. информация не дублируется понятными человеку символами;
3. п.1 порождает небольшое разнообразие форматов;

Я бы сказал, что штрихкод, растянутый до двухмерного варианта, остается тем же штрихкодом без какой-либо концептуальной новизны, но все эти японские школьницы решили, что это принципиально новая технология, настали новые времена. Внезапно QR-кодами решили закрыть существующую проблему связи между реальностью и виртуальным миром. Они стали неразрывно связаны с мобильными телефонами и другими гаджетами, портативными представителями виртуального мира во время путешествия человека по миру реальному. Помимо офлайна (билборды, афиши, вывески, пресса, городские поверхности, коровы) QR-коды также стали использоваться для переброса информации с компьютера на телефон, чаще всего адресов веб-страниц и ссылок на приложения.

Так технология узкого профессионального применения (логистика, производство, торговля) стала очередным способом кинуть ссылку на котиков, причем завуалировано. Дальше воздушно-капельным путем или по другим неведомым мне каналам распространения безумных идей эти познания покинули Японию, и мы получили мир с QR-кодами, самой злоупотребляемой технологией в мире.

Что же с ними не так?

Пассивное и активное считывание

С новым годом статусом технология QR-кодов радикально отдаляется от своих одномерных предков. Принципиальная разница заключается в смене ролей системы «объект—субъект». В традиционной области применения штрихкодов считывание (для пользователя) является пассивным. У вас есть пачка макарон, и кассирша считывает с неё штрихкод. У вас есть билет на концерт, и контролёр на входе арены считывает с него штрихкод. У вас есть билет на аэроэкспресс, и турникет считывает с него штрихкод. Вы пассивный участник этого процесса. От вас не требуется прилагать усилия, обладать знаниями и навыками, иметь оборудование. У вас есть бумажка с буквами и штриховкой, и вам по большей степени всё равно, что активный участник делает с ней — сканирует, внимательно читает, проверяет на просвет или пробует на вкус. Лишь бы побыстрей. И при таком пассивном использовании штрихкодов пользователь получает качественное взаимодействие — он не задерживается и не грузит себе мозги ненужной информацией, а все трудности с технологиями и аппаратурой считывания вместе с денежкой достаются специально обученному персоналу — автоматизированным роботам и роботам под управлением профессионалов органического происхождения. Конечно, с точки зрения кассирши и турникета такое считывание не является пассивным, но мы прежде всего должны проявить заботу о простых пользователях, а кассирша и турникет профессионалы, работают на качественном промышленном оборудовании (или являются им) и получают деньги за то, чтобы людям было удобно.

То есть в тех областях, где используются обычные штрихкоды (которые из-за своей обыденности не обладают этим ароматом инноваций «будущее стучится к нам в окна»), применение QR-кодов вполне кстати.

Билеты на аэроэкспресс и на концерт — правильные примеры использования двухмерных и одномерных кодов

Всё меняется, когда считывание становится для пользователя активным. Вся забота перекладывается на пользователя: вот тебе узор, придумай что-нибудь, ты же мужчина. Пользователь занимает место профессионала, должен иметь представление о технологии и добыть средства считывания этого узора. Надо ли при этом напоминать про чудовищную разницу в качестве и скорости считывания между профессиональными (пассивное считывание) и пользовательскими (активное считывание) сканерами? Сравните мгновенную работу оператора кассы и эти паузы (особенно неловкие при попытке считывания кода, например, с футболки незнакомца), когда камера смартфона пытается поймать фокус, а приложение наконец найти эти опорные квадратики.

Технологии на фасаде

Если при пассивном считывании пользователь может даже не задумываться о существовании какого-то кода на его коробке с макаронами, так как это не касающаяся его служебная информация, то при активном считывании второстепенный элемент выходит на ключевое место, и человек сталкивается с QR-кодом один на один. И тут возникает проблема сущности QR-кода. Чтобы яснее выразить мысль, я предлагаю совершить флэшбэк к истории взаимоотношения человека и компьютера.

Вспомним, чем люди отличаются от компьютеров. Компьютеры не терпят неточности, они невероятно быстрые, не ошибаются, педантичны, бесстрастны, последовательны, предсказуемы и тупы. Они построены на каркасе двоичной системы счисления и булевой алгебры. Есть ток или нет, 1 или 0, никаких сомнений и промежуточных вариантов.

Люди не такие. Они невероятно медленные, ошибаются, иррациональны, эмоциональны, хаотичны, непредсказуемы и сообразительны. Они созданы из плоти, эмоций, привычек, ошибок и заблуждений. Работа мозга разительно отличается от принципов устройства компьютера. Есть операции, где человеку никогда не угнаться за компьютером. В других направлениях компьютер бессилен перед человеком (вспомним тест Тьюринга и любимые капчи). И существуют области, где нам повезло наблюдать некоторое время баланс возможностей (скажем, шахматы). Люди и компьютеры ОЧЕНЬ различаются. На этом контрасте не один Азимов литературную карьеру сделал.

Изначально человеку приходилось общаться с компьютером на его языке, программисты работали с машинными кодами. Однако люди всё время пытались приспособить компьютер под себя. Со временем эти укротители машин сделали большие шаги к построению высокоуровневой прослойки. Из божества, к которому ходили на поклон с жертвоприношениями в виде перфокарт, компьютер со временем стал рабом человека, обслуживающим его прихоти (хотя пользователи iTunes оспорят это высказывание, и я с ними соглашусь).

Постепенно благодаря повышению вычислительной производительности, развитию области проектирования пользовательских интерфейсов и построению новых моделей (нечеткая логика, нейронные сети, генетические алгоритмы, etc.) компьютер обучается общаться с людьми на человеческом языке. И вот он пытается предугадать ваше поведение, запомнить ваши привычки и предпочтения, исправляет ваши ошибки, когда вы случайно удалили не то письмо, распознает отданные пьяным шепотом команды, прощает вам вашу дырявую память и пивное пузо. Монстр укрощен.

Всегда было ощущение, что если среди человеческой расы есть внедренные диверсанты-роботы, то это японцы, потому что создатели QR-кода вернули нас на десятки лет назад и снова поставили человека на колени перед машиной. При активном считывании люди становятся считывающей панелью турникета. Опубликовавший QR-код как бы говорит: «вот тебе двухмерная матрица битов, это очень удобный для машины формат, давай расшифровывай. Мне всё равно как, можешь на бумажке, можешь программу поискать». Вместо того, чтобы заставить компьютер понимать нас, мы снова вынуждены понимать язык компьютеров. Вот тебе оптоволоконный кабель, лови вспышки и записывай на бумажку, это твоя веб-страничка, потом раскодируешь и почитаешь.

QR-код — это инвертированный тест Тьюринга. Докажи, что ты не человек. Потому что если ты считал QR-код, то ты или воспользовался роботизированной частью себя (смартфоном или иным гаджетом), или всё-таки сумасшедший применил ту статью на деле (после чего официально лишаешься звания человека).

Это век назад была необходимость, люди морзянку ушами ловили и мозгами расшифровывали. Сейчас такой нужды нет (хотя в ВС РФ и в наши дни сидят, слушают всякие — — — • и напевают: «ЧЕЕ-ЛОО-ВЕЕ-чек»). Формат предоставления информации в компьютере не должен волновать пользователя и как-либо с ним соприкасаться. Это дело профессионалов и развлечение гиков.

QR-код и гики

Гики любят QR-коды, потому что они любят общаться с компьютерами на их языке. Они стараются понять принцип работы окружающих себя вещей, стремятся контролировать мир вокруг и подстроить его под себя (одного слова «Линукс» тут будет достаточно). Гики любят, когда кишки наружу, когда видно, как всё устроено.

(всю статью я говорю о гиках в третьем лице, хотя сам пользователь миранды, фубара2000 и этого прозрачного картридера)

Даже исключительно визуальное подражание компьютерам (стиль хай-тек) пользуется популярностью — на сайте линукс-кастомизаторов вот такая красота занимает второе место по популярности с 768 865 загрузками.

Гики получают удовольствие от понимания сложности системы, для них в этой сложности их притягательность. Достаточно снова вспомнить статью о ручной расшифровке QR-кода. Они наслаждаются суровыми испытаниями, как скалолаз наслаждается тяжелым участком, который можно пройти только на грани возможностей. Им нравится работать в среде, где особые способности делают их не такими, как все. Такое встречается в любом профессиональном сообществе, гики разные бывают. Программисты на ассемблере снисходительно относятся к высокоуровневым халявщикам, пленочники презрительно смотрят на цифровиков («легко на кнопку нажать и в Лайтруме потом ползунки двигать, а вот реактивами бы попробовал»), а про традиционные унижения новичков на форумах от старожилов даже и говорить не стоит. «Юнец, прежде чем спрашивать, для начала бы прочитал 300 страниц техдокументации. На 178 странице на латыни всё четко написано».

Чтобы показать разницу между гиками и обычными людьми (и помочь определиться, к какой группе относитесь вы), воспользуемся вольной трактовкой авиационного теста из великолепной книги «Психбольница в руках пациентов» Алана Купера.

Представьте, что вы идете по посадочному коридору авиалайнера. Вступив на борт, вы должны выбрать — пойти налево в кабину или же направо в салон.

В кабине пилота калейдоскоп сложных органов управления и счетчиков, датчики, ручки и тумблеры, там контроль над ситуацией и суровые требования понимания технологии. В салоне — мягкие кресла успокаивающего бежевого оттенка, расслабление, отказ от влияния на полет и размышлений об устройстве самолета. Если вы (как и я) чувствуете трепет перед приборной панелью самолета, вы гик. В этом нет ничего плохого, это замечательная новость, но надо помнить, что большинство людей выберут поворот направо.

Людям нравятся новые технологии. Но обычные люди не любят, когда технологии остаются на фасаде. Они предпочитают, чтобы технология осталась скрытой, под капотом. Человек любит магию, волшебство, когда технологии не видно, но она работает. Когда всё делают за него и незаметно, не приставая с ненужными вопросами и требованием понимания принципов работы. «Любая достаточно развитая технология неотличима от магии», — констатирует Артур Кларк. Как следствие, любая технология, отличимая от магии, недостаточно развита.

Дверные ручки автомобиля Tesla S — это магия (ога, «Отсканируйте этот QR-код, чтобы дверь открылась»). Когда Гугл.нау просканировал почту, нашел электронный билет на самолет и напоминает вам о предстоящем путешествии — это волшебство. Когда телефон разблокировался, узнав облик хозяина — это чудеса. Даже самолет, как известно, это магия, потому что пассажир закрыт от кабины толстой бронированной дверью (и от знания аэродинамики годами гуманитарного университета).

Обычные люди не любят почтовые индексы, постоянно их путают и забывают. Обычные люди не делятся ISBN номерами книг вместо названия и имени автора. Обычные люди меняют адрес своей странички в социальной сети с id12345678 на lenusik1985. И да, обычные люди ставят себе пароли password123, а не +N]L2.MK`Gle

P.0SY?p9eA;@y|. Потому что обычные люди понимают и запоминают то, что имеет для них смысл, и не вдупляют в то, что создано для робота, а не для человека. И QR-код — высшее проявление вещи, созданной для робота, а не для человека.

Оригинал Мондриана, если кому-то интересно

QR-код неинтуитивен и непонятен. Черт, да это мозаика в виде набора битов! Очевидно, что человек, который ничего не знает о QR-коде, не сможет даже понять, что это за штука. Решенный японский кроссворд? Лабиринт? Ребус? Современное искусство? Что-то поломалось? Какая-то служебная информация для мужиков из водоканала? Оптическая иллюзия? Секретный шифр военных? Корейский алфавит? Карта Сан-Франциско? (это реальные предположения людей). Это может быть что угодно. Догадаться невозможно. Поэтому появляются внушительного объема инструкции, на фоне которой последний пункт «или просто набери apps.yell.com в браузере» выглядит как подарок с небес. Даже маркировка расстояний до канализационных люков имеет больше смысла для обычного человека, там хотя бы цифры привычные. Вы бы еще идентификатор сессии в браузере показали человеку или предложили кукисы в блокнотике хранить. Это информация предназначена не для обычного пользователя.

Как и все, гики имеют тенденцию тусоваться среди подобных себе. При накоплении критической массы гиков им начинает казаться, что все такие же, как они, умные и продвинутые. Что вещи, понятные им, очевидны и для остальных. Они забывают о существовании обычных людей. Это Синдром Кремниевой Долины. Крику обычных людей не пройти сквозь толстый слой продвинутых ребят, окружающих разработчика. Технически необразованные люди становятся не источником вдохновения разработчиков, а предметом шуток на IT happens (когда я слышу очередной такой стебный рассказ админа о бухгалтере, который заявляет, что у него сломался интернет, потому что он случайно удалил ярлык браузера, я представляю, как этот админ в аптеке перепутал Фуразидин с Фуразолидоном, а аптекарша вечером на фармацевтическом форумчике в фирменном ехидном стиле подобных ресурсов делится с коллегами этой историей с заключением «какие же все тупые»). В итоге обычные пользователи становятся жертвой апартеида технически подкованных ребят. QR-код — великолепный пример этого. Что касается Японцев, у которых QR-коды чрезвычайно популярны, то тут я не могу похвастаться этнографическими познаниями, но по общим признакам повернутости на причудливых технологиях (стоит вспомнить их унитазы с приборной панелью, способные разложить продукты жизнедеятельности в ряд Фурье) можно сделать вывод, что это гик-нация.
UPD: В комментариях более убедительно объясняют причины такой популярности QR-кодов у японцев.

И, кстати, еще один показатель гиканутости QR-кодов — попробуйте в Апп.Сторе найти QR-сканер с хорошим интерфейсом и приятной иконкой. При вводе в поиске «QR» там открывается врата в ад филиал Плей.Стора в худшем значении этого слова.

Очеловечивание?

Вялые попытки припудрить уродца и сделать QR-коды ближе к народу сводятся к освистеливанию.

Извините, стразики и единороги потерялись по дороге.
Сайт визитка.ком говорит, что «QR-код – это QRуто», стильно, молодежно! Хорошая попытка, но нет. Все минусы остались, а визуальную красоту смогут оценить только фанаты любительских сборок андроида и винды XP. Даже такой QR-код — всё еще страшное дитя двоичной системы счисления, как бы ни пытался закосить под понятные человеку вещи, приклеив усы и надев на матрицу битов парик.

Грациозная деградация

Если перевести эту терминологию на нашу историю, то обычный одномерный штрихкод удовлетворяет этому подходу. Даже профессиональное оборудование не всегда может считать штрихкод, чему все мы были свидетели на кассе магазина самообслуживания, и в этом случае заложенное в стандарт дублирование информации цифрами приходит на помощь кассиршам: номер товара забивается на клавиатуре. Кроме того, даже без сканера мы сможем выудить из штрихкода EAN-13 полезную информацию (например, узнать по первым цифрам страну производства товара).

QR-коды же делят всех людей на две численно неравные группы — или у тебя есть смартфон с камерой и (пред)установленным приложением, распознающим код, или ты в пролете. Бабушки, люди с обычными мобильниками, с севшим смартфоном или без установленного приложения — сидите перерисовывайте узор, если хотите хотя бы понять, о чем вообще идет речь в этом QR-коде.

Альтернатива, технологии настоящего и будущего

Что же можно посоветовать использовать вместо QR-кодов?
Для начала вспомним, какая информация может быть в них зашифрована. Спецификация QR-кода не описывает формат данных, поэтому фактически в QR-кодах запихивается всё, что влезет в 4кб, в основном это цифры и буквы (текст, ссылки, закладка в браузер, Email (с темой письма), SMS на номер (c темой), MeCard, vCard, географические координаты);

В ТРИЗе (Теория Решения Изобретательских Задач) есть понятие идеального объекта: «Идеальный объект — когда объекта нет, а функция его выполняется». Идеализация системы достигается сокращением отдельных частей системы за счет избавления от избыточности. Например, на сайтах чекбокс формы логина «не запоминать меня» (он же «чужой компьютер») избыточен, т.к. он дублирует универсальную опцию «вкладка инкогнито», которую поддерживают все современные браузеры (в том числе мобильные). Итак, чтобы решить проблему QR-кода, мы должны сделать так, чтобы его не было (для пользователя), а его функция выполнялась. Я вижу два возможных решения, комбинация которых полностью перекрывает проблему: распознавание и невизуальные метки.

Распознавание

Набор инструментов довольно простой: это сокращатель ссылок, фотокамера гаджета и приложение распознавания изображений. Принцип работы еще проще: публикуй саму информацию, а не её зашифрованный вариант. Текст? Ссылка? Контактные данные? Изображение? Просто опубликуй их в их первозданном виде, максимально удобном для человека без каких-либо гаджетов. Остальное возьмет на себя технология распознавания образов. Развитие этой отрасли уже достигло уровня комфортного ежедневного применения.

По моему мнению, флагманом этого направления является Google Goggles. Насколько я понимаю, это промежуточный продукт, который станет частью Гугл.Нау, Гугл.Гласс и всей этой темы. Мобильные технологии Гугла + знаменитый поиск по изображениям + OCR позволяет при помощи камеры смартфона распознавать всё, что ему подсунут:
— обложки книг и DVD;
— штрихкоды и QR-коды;
— логотипы;
— здания и достопримечательности;
— контактную информацию;
— картины;
— фирменную символику;
— товары;
— текст (с переводом при необходимости);
— дорожные указатели, растения, животные, автомобили и т.д.;
— ну и судоку решать, куда же без этого.

Пример коммерческого использования технологии: Goggles распознал рекламную полосу автопроизводителя в журнале и предлагает открыть страницу этой модели автомобиля, скопировать текст рекламы или открыть хай-рез фоновой фотографии интерьера автомобиля.

Возможности такой системы огромны и не требуют штрихов, мозаик и других подобных нелепостей. Навел камеру на мост «Золотые ворота» — получил информацию о нем, навел на картину в музее — узнал подробности создания (и выпендрился знаниями перед девушкой), навел на текст — он распознался. Для современных технологий считывание и распознавание текста (ссылок, фотографий) такое же доступное, как и считывание штрих-кодов, поэтому последние просто не нужны. Если провести аналогию с автомобилями, это отказ от механической коробки передач в пользу автомата. Какие-нибудь продвинутые автолюбители будут возмущаться, что «без механики не то», и в профессиональных областях без нее наверняка никак, но для обычного человека это избавление от функции, которую за него может (и должен) выполнять робот.

Ссылки. Основная причина оборачивания ссылок в QR-код — лень набирать длинную ссылку пальцами. Её можно укоротить при помощи многочисленных сервисов. Даже основной минус этого подхода (потеря информации, заключенной в адресе ссылки, и незапоминаемость сгенерированной короткой ссылки) сглаживается возможностью кастомизировать адрес ссылки, а солидные издания зарегистрировали для этого себе укороченные домены ( New York Times — nyti.ms, Wall Street Journal — wsj.com, Time Magazine — ti.me).

Текст. Почему бы просто не опубликовать текст? Нет, серьезно. Это та же история, что и про теги твиттера.

Видео для тех, кто считает, что на визитках надо размещать QR-код:

Такие рецепты соответствуют методике грациозной деградации:
— Распознаешь текст или ссылку через камеру при помощи Goggles или другого подобного приложения;
— Если нет приложения визуального распознавания, можно сфотографировать и в любой момент прочитать с телефона;
— Даже если нет возможности сфотографировать или вообще с собой нет устройств цивилизации, строчку можно записать или даже попробовать запомнить.

Некоторые говорят, что вот встроят сканер в стандартное фотоприложение айфона, тогда и заживем. Но беда QR-кода не в том, что надо иметь специальное приложение для переноса информации в телефон (то же самое можно сказать про Goggles), а в том, что это единственный способ получить хоть какую-то информацию из него. В представленном выше варианте информация извлекается при любом «оснащении» — есть приложение распознавания, или только камера, или вообще ничего нет.

QR-код на сайтах. Как уже говорил, используется для передачи информации с компьютера на телефон (чаще всего это адрес приложения для установки, веб-страница с найденным маршрутом проезда или недочитанной статьей). Перед Гуглом и Эплом (и наверняка Микрософтом, я не в курсе) такая проблема встала при строительстве своих мультиплатформенных экосистем, и они её с честью инноваторов разрешили универсальным ответом на многие вопросы: облако. Они построили такие системы с глубокой синхронизацией, что для установки приложения на айось или андроид даже смартфон не обязательно из рюкзака доставать. Облачное хранение данных, синхронизация закладок браузеров и сервисы вроде instapaper, readability и pocket делают вопрос неактуальным.

Яндекс на странице своих приложений использует всё богатство вариантов — отправление ссылки на телефон, гугл.плей кнопка, а также дополнительно под спойлером QR-код и короткая ссылка с репрезентативным и запоминающимся адресом. Я очень хотел узнать статистику использования этих вариантов, чтобы статья подкреплялась цифрами или была ими опровергнута, обращался к представителю компании на Хабре, но, к сожалению, помочь мне не смогли. Конечно, в интернете много результатов опросов и прочих исследований неясного происхождения о применяемости технологии, но конкретно этот пример со страницы Яндекса, мне кажется, был бы особенно интересен.

Невизуальные метки

Метки могут быть невидимы для пользователя, но видны для считывающего устройства. Например, нагрудные номера на марафонах содержат маячок, который позволяет отслеживать положение спортсмена. С точки зрения ТРИЗа этот объект идеален: элемент совершенно незаметен, для пользователя его не существует, но его функции выполняются — отслеживание читеров, фиксация результатов, анализ темпа бега, и в довесок массивы информации, которые в правильных руках могут превратиться в качественную инфографику.

Существует несколько технологий невизуальных меток, поддерживающих возможность считывания пользовательским гаджетом.

Можно вспомнить про NFC метки (те, которые используются в билетах общественного транспорта Москвы). Такие метки распознаются только на близком расстоянии (около 10 см), что ограничивает возможности применения. Например, для информационных табличек ещё может пригодиться (вместо этого уродства разместить нормальную табличку с названием здания и краткими данными, а встроенная NFC метка позволяла бы получить подробную информацию), а для билбордов уже нет. Да и стоимость NFC метки, как мы узнали из недавних метро-разборок, начинается от 5 рублей. Весьма ограниченный набор смартфонов с NFC-модулями и презрение к технологии со стороны Эпла, вероятно, ставят крест на амбициях NFC.

Что же предлагают сами купертиновцы (не могу поверить, что я воспользовался этим словом)? Конечно же, это iBeacon (iМаяки) — передатчики, распознающие приближение гаджетов. По мнению Эпла, это новый шаг в микро-навигации (Indoor positioning system), который принесет с собой совершенно новое восприятие локации. Низкое энергопотребление (технология основана на Bluetooth low energy) и возможность продолжительной работы от батарейки (до двух лет) делает возможным применение маячков и на улице, например, как маркеры тропинок в парках. Но всё же основная область применения iBeacon (в частности, из-за нежелания закапывать в парке маячок за 30$) — это помещения: розничные магазины, учебные заведения, библиотеки, кафе и рестораны, музеи, рабочее пространство и другие варианты, которые нафантазировали эплфанаты.

iBeacon, видимо, собирается отправить на свалку истории и WiFi-навигацию, плюсы и минусы которой в работе на основе существующей WiFi-инфраструктуры.

В каких случаях применение QR-кодов будет кстати

1. На визитке президента компании DENSO WAVE INCORPORATED. А также у него на машине, на одежде, на обоях, на домашних животных, на пижаме детей, на самих детях, на фотографии жены, собравшей вещи и уехавшей с маркированными детьми жить к маме. Ему можно, такая у него работа.

2. В некоторых рекламных кампаниях. Когда необходимо намеренно создать интригу, минус QR-кодов можно обратить в плюс. Их беспощадная непонятность и невозможность что-либо узнать без расшифровки порождают у гиков жгучее любопытство. Умные вирусные маркетологи это просекли и публикуют для заманухи QR-коды исполинских размеров без каких-либо пояснений. Гики принимают вызов и рвутся распознавать. Ну знаете, это как хакерские логические квесты, даются 4 символа, а ты должен догадаться перевести их в восьмеричную систему исчисления и использовать получившиеся цифры как порт, по которому надо постучаться на сервер, адрес которого получается из суммы второго и третьего элементов поля Галуа, размерность которого можно раздобыть, если…

3. Для идентификации среди гиков «свой-чужой», такого некоего каминг-аута. Ну там на маечку скрин (чтобы потом всем было неловко, когда кто-нибудь решится считать её), на аватарку поставить. Пускай все знают, мне нечего стыдиться!

4. Опять же, если вы какой-нибудь матерый бородатый гентушник и представляете услуги чудес реверс-инжиниринга на виражах, не стесняйтесь запилить QR-код с рабочими контактами во всю свою домашнюю страничку — вас явно не интересуют люди, которые не знают, что это такое. Не надо думать, как соседская бабушка сможет его прочитать, такие люди здесь чужие. На всяких хакатонах и профильных конференциях можете вообще отказаться от любых способов подачи информации, кроме QR-кодов, только порадуете соответствующую публику.

5. Как возможный апдейт там, где используются обычные штрихкоды, т.е. при пассивном считывании.

Выводы

1. QR-код — тот же штрихкод без какой-либо концептуальной новизны, только с увеличенным объемом и без дублирования символами информации. Если хотите разметить QR-код, представьте на этом месте обычный штрихкод и задумайтесь, не дико ли это выглядит.
2. QR-код — вполне себе решение при пассивном считывании, т.е. в областях, где используется обычный штрихкод;
3. QR-код — непонятный, неприятный, но полезный способ связи реального и виртуального миров, которым чрезвычайно много злоупотребляют;
4. QR-код — тупиковая ветвь эволюции; вместо службы компьютера человеку — разговор с роботами на их языке; вместо грациозной деградации — посыл в ж фига всем, у кого нет смартфона с приложением; этот путь легкий по сравнению с альтернативными вариантами, но ведет в никуда;
5. QR-код — заплатка, у которая есть альтернатива в настоящем и будущем;
6. QR-код останется существовать как гик-забава и подпольно распространяться в гик-гетто будущего, если они там не придумают к этому времени какое-нибудь новое развлечение вроде передачи данных через состояния кубика-рубика;
7. Ради всего святого, если вы всё же хотите публиковать QR-коды, дублируйте информацию.

Если еще короче: технологии должны подстраиваться под человека, а не человек под технологии.

Источник