二维码包含什么数据?
二维码可以编码各种类型的敏感信息,例如: • URL — 可能是私密的或仅限内部访问的网址 • WiFi 凭据 — 以明文形式存储的网络名称和密码 • 联系人名片(vCard)— 包含全名、电话、邮箱、所属组织等 • 预先填好主题和正文的电子邮件地址 • 电话号码以及预设的短信内容 所有这些数据,都被直接编码并嵌入在那个看似普通的二维码图案之中。
在线二维码生成器的风险
许多在线二维码生成器都暗藏着不为人知的风险: • 您的 WiFi 密码会被原样传输到它们的服务器上 • 您的联系人信息会被记录下来,甚至可能被转卖 • 某些服务会偷偷注入经由其服务器中转重定向的跟踪 URL • 生成的二维码可能在日后突然过期失效,或被对方擅自修改 • 您的使用模式可能会暴露出敏感的商业信息 • 没有任何保证能确保数据在生成之后会被真正删除
PrivaQR 如何保护您的数据
PrivaQR 使用 qrcode.js 库,完全在浏览器中生成二维码,其核心优势包括: • 零网络请求 — 所有生成工作都通过 JavaScript 在本地完成 • WiFi 密码自始至终都不会离开您的设备 • 联系人详情始终保持私密,不外传 • 绝不注入任何跟踪 URL — 您的二维码永久有效且纯净无污染 • 自定义颜色、纠错级别和尺寸 — 全部在客户端本地处理 • 可下载为 PNG 或 SVG 格式,整个过程无需任何服务器交互
为什么 QR 码格外容易被滥用
有两个特性使 QR 码以普通链接所没有的方式变得危险。第一,它们对人类不可读——你无法通过观察来分辨合法目的地和恶意目的地,所以一个被实物粘贴在真实码上(停车计时器、餐厅桌面、快递通知单上)的码,可以在没有任何可见警告的情况下把你引向一个危险之地。这种“quishing”(QR 钓鱼)已在全球范围内针对银行和交通系统有过记录。第二,生成会泄露秘密:因为被编码的数据——一个 WiFi 密码、vCard 中的一个家庭住址——在你把它输入生成器的瞬间就被创建出来,所以服务器端的生成器在图像存在之前就已看到了原始值。防御之道是结构性的:在本地生成,让秘密永不被传送;并且在对扫描到的码采取行动之前,始终先预览它解码后的网址。