N.a.v. een discussie met een Anonieme reageerder in https://security.nl/posting/879896: als je een QR-code scant, check dan altijd waar jouw browser naar toe gestuurd wordt.

(In https://www.security.nl/posting/879514/rant+-+onveiliginternetten_nl beschreef ik, naast de risico's bij http:// i.p.v. https://, de potentiële ellende bij het gebruik van URL-verkorters zoals "bit.ly" of "s.id" - zo'n verdachte bloedzuiger-domeinnaam moet je überhaupt niet willen bezoeken).

Als je op een iPhone of iPad de camera start en boven de QR-code houdt, zie je de domeinnaam van de website waar de browser naar toe gestuurd wordt als je akkoord gaat. Zie de eerste screenshot (druk op Alt in het plaatje voor meer info).

Twee problemen:

1) Je ziet *niet* of het om een https:// of om een http:// link gaat;

2) Als *niet* Safari maar een andere browser als standaard is ingesteld, zoals Firefox, zie je *in plaats van* de domeinnaam:
"Open in Firefox"
(Dan heb je dus geen idee).

De tweede screenshot is van een "app" die iedereen zélf kan maken; hoe beschreef ik vorig jaar (uitgebreid) in https://www.security.nl/posting/829026/iOS+QR-scanner%3A+DHZ%21.

Als de link met http:// begint (of zonder protocol begint, met als gevolg dat de meeste browsers er zelf http:// vóór zetten), vraagt die app of je het protocol in https:// wilt wijzigen vóórdat de link in de standaard browser wordt geopend (of, naar keuze, naar het klembord wordt gekopieerd).

@ErikSchouten73

#QRcodeScanner #iOS #iPadOS #iPhone #iPad #httpVShttps #httpsVShttp

ALT

ALT