This topic created in 1728 days ago, the information mentioned may be changed or developed.
- 在目前国.家有政务平台(个人版)的前提下,为什么二维码基于第三方商业应用发放?
我承认目前几乎人人都有微信或支付宝,但毕竟这是一个商业平台。举个例子来说,一个国.家可以请私人安保团队,但是如果全部依靠私人安保,而没有本身的军队,这不太正常吧。
个人理解中,比较正常的思路是:接种疫苗或进行 PCR 检测后,数据和医保 /身份证挂钩,数据上传到相关政务平台,然后提供对应类型的二维码。可以是 PDF 以供打印, 也可以是其他形式. (方便老人携带)
- 为什么二维码要做成动态的?
既然电子化,正常的思路难道不应该是用户出示凭证,另一方进行验证么?类似于电影票。做成静态的,没有智能手机的用户和不想用微 /支的人也可以轻松提供二维码。 如果是”方便用肉眼检查“这种理由,我个人无法接受……
- 为什么有多种二维码?
据我所知目前有行程码和健康码,为什么不实现同一二维码下,标识不同类型呢?(前提是有政.府提供,而不是商业公司。)
- 各省二维码是否互通?
互通并不是说 A 省有 B 省的数据,而是说 B 省能否查验 A 省的二维码真实有效? 我个人没有搜到国.家级的 API,都是微信或者支付宝的相关 API……
- 目前谁可以检查二维码有效性?
排除使用肉眼检测法后,谁还能检查。或者说,除了使用肉眼,有什么办法检测?
我目前不在国内,但是无论微博时间线,还是微信朋友圈都经常有相关的消息,结合目前所在地为欧洲国家,所以有了以上疑问。
- 目前欧洲的疫苗通行证有三种类型:疫苗接种(两针)、康复(一针)、PCR 检测。
- 每个国家仅储存本国国民信息,但是可以查验别国的通行证二维码。
- 查验二维码有效性的 app 所有人可下载安装,方便所有需要的人查验(如餐馆)。
- 二维码在检测或接种后,数据上传到相关平台(政务平台、社保平台等),可以下载、打印,部分国家还有相关 app,二维码为静态二维码。
- 相关 API 由欧盟统一提供,各国可根据政策进行修改(如疫苗接种后二维码变绿时间),但修改不影响别国的检测(如本国规则当日变绿,其他需要等 14 天的依然 14 天后才绿)。
- 检测不保存信息,二维码虽包含个人信息,但仅保存在个人手中。个人信息用于验证二维码后,与身份证件进行对比。
请大家仅从技术角度讨论,不议政。感谢。
Supplement 1 · Aug 2, 2021
我知道分歧在哪里了 —— 检测手段。
如果是肉眼检测,那的确需要在客户端做各种防伪。
然而我觉得肉眼检测并不是正确的方案,一切的状态(行程、接触)等应该脱敏放在服务器端。
所以这点暂时应该是无法调和的,一个方案已经实行了这么久,在疫情稳定前更换模式,也不现实……
另外一点关于商业平台。
我暂时没有找到数据存储的说明, 理论上支付宝和微信的数据应该是一样的(他们不会各自保存自己的一套吧?也不可能两家商业公司之间互相同步更新数据吧?),所以肯定有一个中央储存的地方。
基于这个猜想,一套公开 API 还是可行的,希望可以早日脱离这两个平台。
如果是肉眼检测,那的确需要在客户端做各种防伪。
然而我觉得肉眼检测并不是正确的方案,一切的状态(行程、接触)等应该脱敏放在服务器端。
所以这点暂时应该是无法调和的,一个方案已经实行了这么久,在疫情稳定前更换模式,也不现实……
另外一点关于商业平台。
我暂时没有找到数据存储的说明, 理论上支付宝和微信的数据应该是一样的(他们不会各自保存自己的一套吧?也不可能两家商业公司之间互相同步更新数据吧?),所以肯定有一个中央储存的地方。
基于这个猜想,一套公开 API 还是可行的,希望可以早日脱离这两个平台。
 |
1
Tianao Aug 2, 2021
我相信动态二维码的设计用法不是这样的。要我说是下面的人把经念歪了,上面的又骑虎难下。
|
 |
2
oIMOo OP @Tianao 动态二维码在我的理解,就是为了防止截图。然而我并没有懂,为什么不能截图……
截图后修改成绿的,和伪造一个小程序,难度确实不是一个量级,但肉眼检测这件事不合理啊。明明难度应该基于密钥,而不是小程序难为造…… |
 |
3
Daylight1993 Aug 2, 2021
就是因为人人手机都有微信支付宝,所以你得行程更容易大数据,不带手机,做成静态的出门带张纸怎么通过大数据判断这个人去过哪里呢?动态码就是防止作弊,中国人多,肉眼检测是最为直观快捷的。
|
|
4
Daylight1993 Aug 2, 2021
@oIMOo 截图你得码就不是实时码了啊,假如有人码红了,依旧使用之前的绿码怎么办、
|
 |
6
klh Aug 2, 2021
广东这边可以这样理解:政务数据局是甲方,数字广东(腾讯+三家运营商)是乙方,就是外包的意思。不了解其他省份。
|
 |
7
tankren Aug 2, 2021
大聪明
|
 |
9
xingshu1990 Aug 2, 2021
健康码为什么要第三方商业应用分发——减少用户的抵触心态。多数人使用支付宝、微信,手机里默认已经下载这两个 APP,而且这两个 APP 的公司,又有专业的人去维护。既然都有人帮忙做了,何必自己揽一个自己都不知道能不能做的好的活。
二维码为什么要做成动态的——以现阶段举例,本身 A 市是一个安全的闭环,比如你是在危险的 B 市,你准备要去 A 市,静态的二维码,会显示你几天前或者几个月前的安全状态,这就失去了二维码的换色状态作用了。 |
 |
10
A555 Aug 2, 2021
还有一个,静态二维码的话,本人不知道是否有风险.可以提醒本人及时采取措施
|
 |
11
shakaraka PRO 曾经小区门卫还推荐保存在相册,方便下次直接看。
为此事还在 v2 炒过一次,大家都说防君子不防小人。然后我就不说话了 |
 |
12
Vegetable Aug 2, 2021  1
二维码形式的健康码是不太成功的设计,这个老生常谈了。
二维码作为机器识读的形式,却用来人眼识别,这本来就不可能合理。至于走到这一步的原因就很难一概而论了。 |
 |
13
3dwelcome Aug 2, 2021
静态二维码(类似电影票),鉴别真伪需要检测人员随时扫码联网查询,你也说了官方并没提供这个 API,也不打算提供。
那就只能做成动态二维码了。 托管机房数据流量,API 查询接口,这些都不是免费的。都是需要搭建的成本。你也可以说,百度云为什么限速 100k,技术上明明可以做到 10000k 每秒,答案嘛大家都懂的。 |
 |
14
Dkngit Aug 2, 2021
@xingshu1990
@A555 静态动态的问题,“静态二维码的话,本人不知道是否有风险” --- 楼主已经说了,每个人手里拿着的是一个人唯一编号的静态二维码,通过特定的 API 可以查询这个编号对应的状态。用户也可以拿着适配了这个 API 接口的程序去查询自己的状态,某些没有手机的不会用手机的,也可以找别人,或者特定场所的人帮忙查询。 第三方商业应用分发 --- 楼主也说了,数据由中央机构统一收集,但是会分发状态给所有人。这个状态的查询,Z*F 可以做,第三方商业公司也可以做。 |
 |
15
lagoon Aug 2, 2021
“为什么二维码基于第三方商业应用发放”
推广要花很大力气,教怎么用也要花大力气,特别是众多老一辈。微信支付宝是现成的。 话说隐私在大陆本来就不太重视。 “为什么二维码要做成动态的” 二维码不动态,怎么变更黄码红码呢?绿码截图再不变? 比如有不少城市,就通过把码变色的方式,迫使居民去做核酸检测。否则用不了公共交通,进不了各种大楼商场。 “为什么有多种二维码” 你用我的?还是我用你的?凭什么我用你的? 利益纷争,而且各地水平也不太相同。 比如今天粤康码提示国家政务服务相关接口崩了。 “各省二维码是否互通” 据我所知,会统一上传国家。 可以理解为互通。 比如今天,粤康码就显示,国家政务的相关接口崩了。导致数据无法上传。 “目前谁可以检查二维码有效性?” 暂时没见过检测有效性的,扫健康码的。不清楚。 我觉得真的有些事是国情不同。 国人还是比较顺从的,对于疫苗、核酸、隐私,抗拒性也不大。 所以二维码哪怕充满可伪造的漏洞,大体影响不大。 而且国内调查起来也很方便,比如要是搞个假二维码发出去(有人弄过),一是很容易被逮到,二是逮到之后可以让你尝尝社会主义铁拳。风险回报完全不等。 每个省虽然有各自的二维码,但基本互联互通(比如行程数据,估计都是能拿到的),所以欧盟中的各国和欧盟配合的做法,我们不太需要。 |
|
17
lagoon Aug 2, 2021
又看了看,楼主说的静态,应该是要建立在扫的基础上。
大陆现在是不用扫,直接做成了动态。 方便用户发现,一天打开好几次,自然知道。 另外好奇,欧盟扫,不慢吗? 比如早上办公楼、地铁口,一群人,肉眼看的速度,和扫的速度,天壤之别。 我觉得根本区别在于,欧洲如果不扫,那么伪造的太多。 以什么罪判呢?给多少处罚呢? 中国比较顺从,威吓效果很大(你敢伪造你就等着铁拳吧),伪造风险较少。 |
|
18
oIMOo OP 关于第三方商业公司 @hiplon @xingshu1990
技术方面肯定是有人要做,我个人觉得正常思路是国.家提供统一的标准甚至接口,部分权限和规则可以下放给各省(参考欧盟和其中各国的关系)。无论微信还是支付宝,他们只应该是个媒介,任何调用相关 API 的都可以出示二维码。现在只能出示这俩(不讨论通信运营商的行程二维码),是我觉得不合理的地方。 这就像我觉得微信只是聊天的,其它功能我觉得是累赘;同理支付宝就是付钱的,搞社交也是累赘。所以把我的个人信息强制与其绑定,我也觉得不合理。 关于动态二维码和肉眼检测 @Daylight1993 @Tianao @A555 @xingshu1990 @3dwelcome 看了大家的评论,我发现这其实基本上是一个问题。 如果建立在”肉眼检测“的基础上,且是因为“人多”和“成本”,我可以勉强说服自己。不过想想二维码在我国已经使用了这么久,大家其实对“使用设备验证”(而不是肉眼)已经有了习惯,增加相关的配套设施,基本上不是困难 (前提还是有统一的 api )。 如果不建立在肉眼检测的基础上,我比较好奇目前是如何实现的追踪? 比如说一例阳性去过某餐厅,后坐车前往某地居住。这种都是由企业来提供的数据,无论是国企还是私企。事后追踪,和码本身没什么关系,所以这种情况是一样的。 说说实时的显示状态: 欧盟的码是单色的,用检测 app 才会显示颜色。那么同理,检测的时候,如果本人阳性,直接在服务器端标注。 其他密接依然由相关的商业公司提供,同样在服务器端标注,甚至数据可以一定程度上脱敏,好像也没什么区别。 |
|
19
oIMOo OP @A555 @lagoon
我好像没有主动检测自己码的动机,如果我检测结果阳性,自然有检测机构通知我;如果我是密接,相关部门也会联系我(欧洲做的不行,但是我相信国内这点无限趋近 0 失误)。 关于欧洲这边的扫码:据我的了解,部分国家的要求是饭店和商场检查(没什么商家执行)。地铁火车什么的,因为 ID 是随机查,所以也没有什么检查的规则。只有航班是强制检查的,而且是登机口检查,再加上人少,所以基本不会拥堵。 这边的阳性一般都是通过免费测试、付费测试和有症状看病发现的。 回归正题:既然是防止伪造,防卫机制建立在“技术屏障”,而不是“困难问题 hardness assumption”,这是我觉得不可理解的…… |
|
21
oIMOo OP @Dkngit 虽然话是这么说,但是参考蚂蚁金融和滴滴事件,完全依靠商业平台还是有风险的。
像我主题里说的,如果有个 API,用户可以选择微信、支付宝,社保平台、还是第三方网页来展示,这个好像才是正常思路。 |
|
23
Daylight1993 Aug 2, 2021
@oIMOo 支付宝微信确实只是媒介啊,各种地方自己的 app 也能展示健康码的。健康码的对接的就是各个地方 zf 后台,然后各个 zf 对接到国家统一平台。
|
|
24
Daylight1993 Aug 2, 2021
你以为健康码的用户数据是在支付宝微信啊,是在 zf 啊。支付宝微信因为有实名所以在你需要展示二维码时候 zf 就不需要鉴权你本人是谁了。
|
|
25
Daylight1993 Aug 2, 2021
就是因为他们都是通过 zf 的接口调用你的码,所以不管你在支付宝还是在微信还是在各个地方 zf app 所展示的都是一样的。不然以支付宝微信的尿性,数据肯定不互通,这样你就可能出现两个码了。
|
 |
26
bigbunny Aug 2, 2021
苏州去年有民警在各个商圈,超市之类的强制推行苏城码 APP 代替支付宝 /微信里的健康码。然后也是各种被在便民论坛吐槽:有支付宝 /微信了还要装新的 APP
|
 |
27
bigdogbigpig PRO 钱!
|
 |
28
icelake Aug 2, 2021
难道你们都没有刷过健康码?
我们本地三甲医院入口就需要刷“苏康码”,并且闸机屏幕上会显示个人姓名以及状态,红和黄是不开闸并报警的。 |
 |
29
Cipool Aug 2, 2021 via Android
|
|
30
oIMOo OP @Daylight1993 但是有接口却只给支付宝和微信用,是为了避免安全漏洞么。否则的话,目前没看到任何第三方的 app 出现…… 当然可能是我没找到……
@Cipool 这个链接我打开之后(关闭了 AdBlocker ),一直是努力加载中… @icelake 看到大家的评论,感觉肉眼检查还是大多数的…… 如果所有需要检查的地方都这么做,我觉得还挺好的。如果能把这个鉴定能力下放给所有人,那就是我想象的状态。 |
|
32
Daylight1993 Aug 3, 2021
@oIMOo 各个地方的政务 app 都可以展示的。比如浙江的“浙里办”,只是用的人少而已,不放心,你可以选择 zf 的 app 展示你的二维码。欧盟做的东西没看出有什么好啊,防疫这么失败,使用率这么低。
|
|
33
oIMOo OP @Daylight1993 欧盟这个主要是为了国家之间旅行方便(三种类型见主楼)。
至于某些国家(如法国)将其列入进入餐馆、影院等必要条件之一,不过目前太多人反对,所以要看后续。 至于发现一起阳性之后的溯源,因为隐私问题,除非患者主动告知,不然别想…… |
Select Language