Portada
mis comunidades
otras secciones
#9:
#8 no viene de la aplicación, viene del navegador web lo mismo que si te metes en la web directamente tecleando del restaurante y ésta está metida en un servicio de rastreo de navegadores.
Sencillamente la carta en vez de estar metida en un dominio del restaurante está metida en en el dominio de una empresa de gestión de menús y está lo esta dentro de una empresa de mercadotecnia, a solucionar con una aplicación de QR que en vez de abrir directamente la opción es copiar la dirección al portapapeles y de ahí a un navegador o sesión de navegador restringida.
Sencillamente la carta en vez de estar metida en un dominio del restaurante está metida en en el dominio de una empresa de gestión de menús y está lo esta dentro de una empresa de mercadotecnia, a solucionar con una aplicación de QR que en vez de abrir directamente la opción es copiar la dirección al portapapeles y de ahí a un navegador o sesión de navegador restringida.
#28:
#8 Vienen, como señala #16 y desarrolla #26, de la dirección que abres. No hace falta que explote vulnerabilidades, basta con que sea maliciosa por diseño.
Es excepcional porque es una ocasión de oro para hacer un trazado mundo físico - digital, conociendo como poco qué ha comprado quien ha visto cada menú:
Interesante enfoque. En el QR pones el núm. de mesa en etiquetado de campañas, al cobrar tienes el número de mesa y lo consumido, y si paga con tarjeta hasta el nombre del cliente, y en el navegador del móvil la cookie de GA (p.ej) que te sigue de un día a otro. Crúzalo todo y...
https://twitter.com/ogpeinado/status/1419954935916019725?ref_src=twsrc%5Etfw
#18 Abrir una URL que te identifica como el que está comiendo en un sitio concreto a una hora concreta y que ha pagado con una tarjeta concreta. Poder vincular una identidad digital con una física vale mucho dinero.
#23 A partes variables de una dirección que, aunque te lleven al mismo sitio, informan al servidor de ciertos datos, en el ejemplo que cito arriba, la mesa concreta en la que estás. Se podría hacer incluso con direcciones diferentes que te lleven a la misma página, con lo cual no valdría con sanitizar la url (quitarle esos parámetros) sino que habría que andar escaneando los de otras mesas y usar uno o varios al azar... o todos.
Si el QR de la mesa 1 lleva a mirestaurante.com/menu y el QR de la mesa 2 lleva a mirestaurante.com/carta, sé qué QR has escaneado, aunque ambas webs sean la misma.
La forma más normal de encontrártelos es algo así como mirestaurante.com/carta?mesa=2&asiento=3 (en realidad, mirestaurante.com/carta?aslfd2=398h9dqljaledf9, pero es lo mismo)
Sanear la URL, como dice #10, sería quitarle todo lo que hay detrás del ?
La parte buena es que no cuesta mucho hacer tu propia versión sin identificadores y pegarla encima, si lo haces con maña tardarán en darse cuenta.
Es excepcional porque es una ocasión de oro para hacer un trazado mundo físico - digital, conociendo como poco qué ha comprado quien ha visto cada menú:
Interesante enfoque. En el QR pones el núm. de mesa en etiquetado de campañas, al cobrar tienes el número de mesa y lo consumido, y si paga con tarjeta hasta el nombre del cliente, y en el navegador del móvil la cookie de GA (p.ej) que te sigue de un día a otro. Crúzalo todo y...
https://twitter.com/ogpeinado/status/1419954935916019725?ref_src=twsrc%5Etfw
#18 Abrir una URL que te identifica como el que está comiendo en un sitio concreto a una hora concreta y que ha pagado con una tarjeta concreta. Poder vincular una identidad digital con una física vale mucho dinero.
#23 A partes variables de una dirección que, aunque te lleven al mismo sitio, informan al servidor de ciertos datos, en el ejemplo que cito arriba, la mesa concreta en la que estás. Se podría hacer incluso con direcciones diferentes que te lleven a la misma página, con lo cual no valdría con sanitizar la url (quitarle esos parámetros) sino que habría que andar escaneando los de otras mesas y usar uno o varios al azar... o todos.
Si el QR de la mesa 1 lleva a mirestaurante.com/menu y el QR de la mesa 2 lleva a mirestaurante.com/carta, sé qué QR has escaneado, aunque ambas webs sean la misma.
La forma más normal de encontrártelos es algo así como mirestaurante.com/carta?mesa=2&asiento=3 (en realidad, mirestaurante.com/carta?aslfd2=398h9dqljaledf9, pero es lo mismo)
Sanear la URL, como dice #10, sería quitarle todo lo que hay detrás del ?
La parte buena es que no cuesta mucho hacer tu propia versión sin identificadores y pegarla encima, si lo haces con maña tardarán en darse cuenta.
#7:
Con la excusa de la pandemia nos están tomando el pelo mucho.
#1:
Relacionada: Códigos QR y seguridad
Comentarios
Relacionada: Códigos QR y seguridad
Códigos QR y seguridad
mangelesbroullon.wordpress.comCon la excusa de la pandemia nos están tomando el pelo mucho.
#7 la pandemia, los hijos y los perros, son la excusa para todo lo que quieras
#4 Solo para Android por lo que veo
Abrelos con Tor
#2 ¿Con iOS es posible? He visto que hay navegadores TOR pero ninguno es oficial y sabiendo que Apple obliga a usar el motor Safari no se que seguridad tendrán estos navegadores...
#3 oficial lo que hay es orbot, pero es lentorillo
#2 posiblemente un navegador como Firefox Focus sirva también.
El QR codifica un URL. Si ese URL en vez de abrirla directamente lo copias y lo pegas en el navegador quitándole los parámetros de identificación (saneas el URL), se acabó el problema.
Pueden ocurrir dos cosas:
* Que el URL siga funcionando y te muestre el menú.
* Que el URL no funcione y te tengas que ir del local. O pedirles el menú de toda la vida y si no te lo dan te vas del local.
#10 El problema no son los parámetros, ni la app que utilizas para leer el código, el problema es acceder a una web "maliciosa" con un navegador "inseguro". Aunque cambies o quites parámetros estarás entrando en la misma web, que te puede rastrear igualmente y encima es probable que no puedas ver el menú.
#20
Tú estás hablando de otras cosas.
#20 el problema es que le estás diciendo a los trackers donde estás y eso se puede aprovechar para entrar en tu casa por ejemplo (es info que se puede comprar). No hace falta que sean webs maliciosas, los trackers de facebook, google, etc... están por todas partes, cualquier web normal tiene mínimo 10 o 12 (marca tiene más de 100). Y ten por seguro que los parámetros de tu móvil (navegador, version de navegador, resolución, idioma, OS, versión OS, versión del teclado y muchos etcs) generan un identificador único que en algún momento han sido asociado a tu identidad.
#8 Vienen, como señala #16 y desarrolla #26, de la dirección que abres. No hace falta que explote vulnerabilidades, basta con que sea maliciosa por diseño.
Es excepcional porque es una ocasión de oro para hacer un trazado mundo físico - digital, conociendo como poco qué ha comprado quien ha visto cada menú:
Interesante enfoque. En el QR pones el núm. de mesa en etiquetado de campañas, al cobrar tienes el número de mesa y lo consumido, y si paga con tarjeta hasta el nombre del cliente, y en el navegador del móvil la cookie de GA (p.ej) que te sigue de un día a otro. Crúzalo todo y...
#18 Abrir una URL que te identifica como el que está comiendo en un sitio concreto a una hora concreta y que ha pagado con una tarjeta concreta. Poder vincular una identidad digital con una física vale mucho dinero.
#23 A partes variables de una dirección que, aunque te lleven al mismo sitio, informan al servidor de ciertos datos, en el ejemplo que cito arriba, la mesa concreta en la que estás. Se podría hacer incluso con direcciones diferentes que te lleven a la misma página, con lo cual no valdría con sanitizar la url (quitarle esos parámetros) sino que habría que andar escaneando los de otras mesas y usar uno o varios al azar... o todos.
Si el QR de la mesa 1 lleva a mirestaurante.com/menu y el QR de la mesa 2 lleva a mirestaurante.com/carta, sé qué QR has escaneado, aunque ambas webs sean la misma.
La forma más normal de encontrártelos es algo así como mirestaurante.com/carta?mesa=2&asiento=3 (en realidad, mirestaurante.com/carta?aslfd2=398h9dqljaledf9, pero es lo mismo)
Sanear la URL, como dice #10, sería quitarle todo lo que hay detrás del ?
La parte buena es que no cuesta mucho hacer tu propia versión sin identificadores y pegarla encima, si lo haces con maña tardarán en darse cuenta.
#28 no se complican tanto, el QR de una mesa si está identificado ya es para hagas el pedido en la web o pidas atención, no solo para enseñar la carta, y el la página te informa de la mesa no vaya ser que por leer el QR de otra mesa se crucen pedido.
#28
La parte buena es que no cuesta mucho hacer tu propia versión sin identificadores y pegarla encima, si lo haces con maña tardarán en darse cuenta.
Sublime. Maximum trolling
#9 #28 Ok. Creo que lo había entendido a medias. El problema no es de la tecnología QR, ni de la app que la usa si no de la web de destino a la que te envía. Gracias por las aclaraciones.
#10 Tener que andar saneando URL para ver una carta de un restaurante ya me parece lo último. A mi que me den la carta en papel. Y si el restaurante usa algún sistema de rastreo, te lo puedas saltar o no, es para irse directamente y poner una queja.
#22 el restaurante es tan o más pringado que el cliente, como usaran el servicio de just eat para cartas perfectamente pueden penalizarlos/cambiar tarifa/cualquier actuación dañina por esa información.
Pero entiendo que los riesgos no vienen del código QR, si no de algunas de las miles de apps que se ofrecen para leerlos y que a parte de leertelos a ti solo, le envían lo que leen a terceros.
Es como si un policía vende los datos de tu dni a una empresa de marketing y empezamos a crear articulos hablando de los fallos de seguridad del dni. Nada que ver, en mi opinión.
#8 no viene de la aplicación, viene del navegador web lo mismo que si te metes en la web directamente tecleando del restaurante y ésta está metida en un servicio de rastreo de navegadores.
Sencillamente la carta en vez de estar metida en un dominio del restaurante está metida en en el dominio de una empresa de gestión de menús y está lo esta dentro de una empresa de mercadotecnia, a solucionar con una aplicación de QR que en vez de abrir directamente la opción es copiar la dirección al portapapeles y de ahí a un navegador o sesión de navegador restringida.
#9 Aunque esté metida en la web del restaurante la carta, seguro que usan google analytics, por ejemplo
#39 ya lo pongo en #9.
El caso es que al restaurante los QR por un tercero le juegan en en contra, al restaurante le va dar bastante igual, a otras empresas no, como por ejemplo a la pasarela de venta de comida a domicilio que puede reclamar que sus usuarios llegaron al restaurante por su publicidad reclamado una subida de tarifa o por aumentar la visibilidad.
Aparte que a mayores de lo que es la comida eso da un factor de clientela que es oro para las inmobiliarias.
#40 La pasarela de venta ya sabe cuánta gente compra en qué restaurante, no necesita meter QRs para eso. Ya te digo, lo veo muy absurdo.
#41 ni de broma la pasarela de venta a domicilio sabía la carga de clientes en mesa de los restaurantes, y menos la facturación en mesa.
No lo sabían ni los propietarios del negocio así que estuviera un poco descontrolado.
#42 No hablo de eso, obviamente hablo de lo que se compra a través de la pasarela de venta a domicilio. ¿Para qué alguien en una mesa va a acceder a la pasarela estando en el restaurante? ¿Para ver el menú? Eso es absurdo y aunque así fuera, la única manera de cotejar datos sería compartiendo las tarjetas de crédito, que dudo muchísimo que sea legal. Y aún así las relaciones serán pequeñas pequeñas, porque en una mesa de 10 ya me dirás.
#45 just eat tiene servicio cartas en QR para cambiar las cartas sin cambiar el QR(cosa que no es difícil pero para quien no tiene idea, pues que no tiene idea), lo mismo que tramitacion de pedidos en mesa, y la propia cookie de sesión de just eat aunque solo haga la petición de cookie antes de cargar la web o el pdf del restaurante.
No puedo hacer promedio ya que no tengo guardado el historial de QR, pero la mayoría con QR iban por servicios de cartas con QR, algunos por la de facebook que ya es un caso aparte, a sumar las filtraciones de datos, y los menos por una web propia o pdf en su dominio. La inmensa mayoría señalaban una pizarra, no usaban QR.
#46 Con el tema de la pandemia hace mucho que no voy a un restaurante, pero jamás he visto una carta por QR. No sé si a lo mejor en grandes ciudades o similares las habrá, pero por lo menos en la mía no. Tampoco he visto tramitar pedidos en mesa. Es absolutamente ridículo pedir a través de Just Eat cuando estás en el restaurante y sinceramente, dudo muchísimo que mucha gente lo haga.
Igualmente si pides a través de Just Eat en mesa, pagarás a Just Eat y si no pagas a Just Eat, volvemos a que tendrían que cotejar las tarjeta de crédito, cosa que estoy seguro de que es 100% ilegal. Esta noticia es súper irrelevante.
#47 pues llegó a ser medio obligatorio, prohibición de cartas en mesa y la separación mínima en las pizarras.
No pagas a just eat, pagas al restaurante como si quieres por trueque. El restaurante paga a just eat por mantener el QR más o menos si es asociado https://www.alacartadigital.es/ este es servicio de ellos. No se hacen los pedidos por ahí, hay otros servicios, pero a muchos restaurantes cuanto menos registro tengan de operaciones mejor.
No tienen que cotejar con tarjeta, hay una cookie de just eat como usuario y just eat usa información como legalmente pueda. No entiendo que estas emperrado con la tarjeta cuando el teléfono o la dirección ya la tiene just eat, lo que no tenía just eat era cuando y a donde ese cliente en mesa de sus socios, por lo menos no lo tenía tan fácil, si hay flujo de información al revés, de just eat al restaurante, ya será cosa del acuerdo.
Luego está esto: https://waitry.net/es/ que si ya puedes hacer pedidos desde la mesa que ya tiene aún más control del consumo, la carta al final solo es más o menos una imagen que se accede por web.
#48 Vale, pero en ese caso lo único que sabe Just Eat es que ese cliente ha estado en ese restaurante. ¿Y qué? ¿Cuál es la diferencia entre eso y pedir a X restaurante por Just Eat, donde ya sabe que estás pidiendo a ese restaurante? Si no te importa que Just Eat sepa dónde comes y dónde vives, no sé por qué te va a molestar que sepa que has ido físicamente a un restaurante.
Además, partimos de que asumes que el cliente estará logeado en Just Eat a través del navegador, algo bastante raro porque casi todo el mundo utiliza la app.
Y ya para terminar, en ningún restaurante medianamente decente van a tener cartas de Just Eat, al igual que no van a tener mesas de Cocacola.
#49 no tienes que ir a un restaurante al que pidas comida para llevar, es más, el restaurante puede no tener servicio de comida a domicilio y usar el servicio de just eat ya que no sabe que es de just eat, es el enlace que te he puesto. Al cliente particular no tanto, le cambiaran las opciones de posicionamiento, al del restaurante si ya que ahí just eat va a jugar a quien más paga, más visibilidad y puede llegar a acuerdos más beneficiosos al saber que restaurantes pueden asumir más cuota o cuando tienen un bajón para ofrecer una promoción.
Uno de los permisos de las aplicaciones al usar el ecosistema de android, no se si en IOS es similar, es que las cookies puedan ser accesibles desde la aplicación y viceversa, no es invisible un sistema de otro.
Así a lo tonto sobre 10.000 bares y restaurantes de Madrid por colar esa carta digital como el sistema de digitalización del ayuntamiento conocido como barra digital, ya que a menos que que investigues en enlace te vas a dar cuenta de que es ese servicio.
#50 El caso es que tú tienes cuenta de Just Eat, así que ya compartes cosas con ellos. Da igual que sepas que ese restaurante es suyo o no.
Respecto a lo otro que dices de la visibilidad y demás, eso ya parte de que el restaurante trabaja con Just Eat. Si no trabaja con ellos, se la pela completamente. Y si trabaja con ellos, ya es cosa del restaurante. Si decide utilizar cartas de terceros en lugar de hacerse una carta digital propia (que le costaría 4 duros), es culpa suya. Y si no se lee los términos del contrato en donde dicen que pueden usar sus datos (porque tendría que estar puesto en el contrato), también.
#51 la capacidad de SEO para los socios de just eat para otros motores de búsqueda también se nota respecto a los que no, así que no se la pela.
Sobre si es culpa del bar o restaurante, pues si, pero lo mismo que desconocías todo el entramado con los QR le pasa al del restaurante, y si encima la herramienta fomentada por la administración está envenenada, peor es.
Realmente el que se olió algo para evitar los servicios de carta digitales fue más por evitar hacienda que por las plataformas digitales.
#52 No, si el entramado lo entiendo y lo conocía, lo que sigo insistiendo es que la noticia es bastante sensacionalista y el "espionaje" apenas es tal. El impacto para ti y para el restaurante es 0 o tirando a 0.
#8 Efectivamente. Es como los SMS malvados. Al principio con los titulares que meten te crees que existe una vulnerabilidad en los SMS. Pero no, al final siempre resulta que envían una URL en el SMS desde la cuál puedes descargarte un archivo malicioso.
Algunos restaurantes pueden aprovechar el uso de los códigos QR para ver qué bebidas se piden, cuantas veces viene un cliente o conocer el número de teléfono o la dirección para enviar publicidad.
Esto es absolutamente falso. Con un QR no se puede saber el número de teléfono o la dirección. Lo sabrán lógicamente si al hacer el pedido metes tu número o la dirección, pero no solo por escanear un QR, que lo único que hace es abrir una URL. No hay diferencias entre escanear el QR o entrar a la página web del restaurante. Sensacionalista.
#36 si eres usuario de just eat y abres una carta de restaurante almacenada en just eat, por la cookie de usuario sabe esos datos si está en el acuerdo entre just eat y el restaurante.
#38 Si eres usuario de Just Eat ya les has dado tu número de teléfono. Si luego Just Eat lo comparte con ese restaurante, es problema suyo y del acuerdo que hayas firmado con ellos, pero no saben tu número por escanear el QR. Entrando en la carta del restaurante desde la web de Just Eat pasaría exactamente lo mismo.
En Fdroid hay herramientas seguras.
#11 binary eye es muy bueno, además de ser código abierto. Creo que también lo hay en el play store:
https://f-droid.org/en/packages/de.markusfisch.android.binaryeye/
Me han rastreado el café frappe que me pedí el otro día.
Hoy no duermo.
#25 Pues ya era fuerte. Pídelo descafeinado la próxima vez.
#37 Pues me acabo de tomar ahora un latte machiatto que debía de estar bien cargado también.
☕
Yo uso Google Lens así que supongo que ya saben todo sobre mi.
Abres aplicación de la cámara, apuntas al código y abres el enlace. Sencillo, se que no todos los teléfonos funcionan así, cosa que no entiendo...
Todo depende del lector de QR que se use. Existen apps como QR Scanner (Privacy Friendly) desarrolladas justo con ese enfoque en mente.
#12 Añado que es código abierto y desarrollado por el Instituto Tecnológico de Karlsruhe, de Alemania. Yo es el que utilizo.
#12 Ese uso yo.
Abrir una URL puede violar tu privacidad. Paren las rotativas.
¿A qué te refieres con "los parámetros de identificación"?
La no noticia, los que tienen móviles inteligentes son espiados
Noticia falsa que fomenta la paranoia. Sólo se podría obtener el número si en vez de abrir una URL se enviará un SMS. Y eso solo después de que el usuario pulsara su consentimiento al envío. Abriendo una URL no way.
Pues vaya chorrada...todos los dias abrimos miles de paginas que nos rastrean, miles de app que venden nuestros datos a terceros y usamos whatsapp y redes sociales....asi que si, nos rastrean.
En china esto es así desde hace tiempo. En casi todos los restaurantes hay un qr en cada esquina de la mesa, lo escaneas a través de WeChat o Alipay u otra aplicación específica de restaurantes y ya está, ya estás dentro de la base de datos y tienen tu perfil. De hecho en muchos casos te dan descuentos y ofertas si usas el menú a través del teléfono, y si pides con menú físico ni aparecen esas ofertas así q todo el mundo al sentarse en la mesa saca el teléfono para pedir la comida lo cual a mi me pone de los nervios...