关于健康码的疑问

2021-08-02 16:38:01 +08:00
 oIMOo

我承认目前几乎人人都有微信或支付宝,但毕竟这是一个商业平台。举个例子来说,一个国.家可以请私人安保团队,但是如果全部依靠私人安保,而没有本身的军队,这不太正常吧。

个人理解中,比较正常的思路是:接种疫苗或进行 PCR 检测后,数据和医保 /身份证挂钩,数据上传到相关政务平台,然后提供对应类型的二维码。可以是 PDF 以供打印, 也可以是其他形式. (方便老人携带)

既然电子化,正常的思路难道不应该是用户出示凭证,另一方进行验证么?类似于电影票。做成静态的,没有智能手机的用户和不想用微 /支的人也可以轻松提供二维码。 如果是”方便用肉眼检查“这种理由,我个人无法接受……

据我所知目前有行程码和健康码,为什么不实现同一二维码下,标识不同类型呢?(前提是有政.府提供,而不是商业公司。)

互通并不是说 A 省有 B 省的数据,而是说 B 省能否查验 A 省的二维码真实有效? 我个人没有搜到国.家级的 API,都是微信或者支付宝的相关 API……

排除使用肉眼检测法后,谁还能检查。或者说,除了使用肉眼,有什么办法检测?


我目前不在国内,但是无论微博时间线,还是微信朋友圈都经常有相关的消息,结合目前所在地为欧洲国家,所以有了以上疑问。


请大家仅从技术角度讨论,不议政。感谢。

866 次点击
所在节点    问与答
33 条回复
Tianao
2021-08-02 16:42:08 +08:00
我相信动态二维码的设计用法不是这样的。要我说是下面的人把经念歪了,上面的又骑虎难下。
oIMOo
2021-08-02 16:44:51 +08:00
@Tianao 动态二维码在我的理解,就是为了防止截图。然而我并没有懂,为什么不能截图……
截图后修改成绿的,和伪造一个小程序,难度确实不是一个量级,但肉眼检测这件事不合理啊。明明难度应该基于密钥,而不是小程序难为造……
Daylight1993
2021-08-02 16:48:15 +08:00
就是因为人人手机都有微信支付宝,所以你得行程更容易大数据,不带手机,做成静态的出门带张纸怎么通过大数据判断这个人去过哪里呢?动态码就是防止作弊,中国人多,肉眼检测是最为直观快捷的。
Daylight1993
2021-08-02 16:49:37 +08:00
@oIMOo 截图你得码就不是实时码了啊,假如有人码红了,依旧使用之前的绿码怎么办、
Tianao
2021-08-02 16:50:02 +08:00
@oIMOo #2 动态二维码主要是为了在有需要的时候变色啊。
hiplon
2021-08-02 16:51:11 +08:00
广东这边可以这样理解:政务数据局是甲方,数字广东(腾讯+三家运营商)是乙方,就是外包的意思。不了解其他省份。
tankren
2021-08-02 16:56:36 +08:00
大聪明
A555
2021-08-02 16:56:46 +08:00
@oIMOo #2 考虑到效率吧.动态验证码肉眼检测的效率比扫码请求服务器数据更快
有些有条件,要求更严格的地方也有扫二维码的,比如医院
xingshu1990
2021-08-02 16:58:25 +08:00
健康码为什么要第三方商业应用分发——减少用户的抵触心态。多数人使用支付宝、微信,手机里默认已经下载这两个 APP,而且这两个 APP 的公司,又有专业的人去维护。既然都有人帮忙做了,何必自己揽一个自己都不知道能不能做的好的活。

二维码为什么要做成动态的——以现阶段举例,本身 A 市是一个安全的闭环,比如你是在危险的 B 市,你准备要去 A 市,静态的二维码,会显示你几天前或者几个月前的安全状态,这就失去了二维码的换色状态作用了。
A555
2021-08-02 16:58:32 +08:00
还有一个,静态二维码的话,本人不知道是否有风险.可以提醒本人及时采取措施
wunonglin
2021-08-02 16:59:15 +08:00
曾经小区门卫还推荐保存在相册,方便下次直接看。

为此事还在 v2 炒过一次,大家都说防君子不防小人。然后我就不说话了
Vegetable
2021-08-02 17:02:05 +08:00
二维码形式的健康码是不太成功的设计,这个老生常谈了。
二维码作为机器识读的形式,却用来人眼识别,这本来就不可能合理。至于走到这一步的原因就很难一概而论了。
3dwelcome
2021-08-02 17:03:20 +08:00
静态二维码(类似电影票),鉴别真伪需要检测人员随时扫码联网查询,你也说了官方并没提供这个 API,也不打算提供。

那就只能做成动态二维码了。

托管机房数据流量,API 查询接口,这些都不是免费的。都是需要搭建的成本。你也可以说,百度云为什么限速 100k,技术上明明可以做到 10000k 每秒,答案嘛大家都懂的。
Dkngit
2021-08-02 17:11:10 +08:00
@xingshu1990
@A555
静态动态的问题,“静态二维码的话,本人不知道是否有风险”
--- 楼主已经说了,每个人手里拿着的是一个人唯一编号的静态二维码,通过特定的 API 可以查询这个编号对应的状态。用户也可以拿着适配了这个 API 接口的程序去查询自己的状态,某些没有手机的不会用手机的,也可以找别人,或者特定场所的人帮忙查询。

第三方商业应用分发
--- 楼主也说了,数据由中央机构统一收集,但是会分发状态给所有人。这个状态的查询,Z*F 可以做,第三方商业公司也可以做。
lagoon
2021-08-02 17:15:53 +08:00
“为什么二维码基于第三方商业应用发放”
推广要花很大力气,教怎么用也要花大力气,特别是众多老一辈。微信支付宝是现成的。
话说隐私在大陆本来就不太重视。



“为什么二维码要做成动态的”
二维码不动态,怎么变更黄码红码呢?绿码截图再不变?
比如有不少城市,就通过把码变色的方式,迫使居民去做核酸检测。否则用不了公共交通,进不了各种大楼商场。



“为什么有多种二维码”
你用我的?还是我用你的?凭什么我用你的?
利益纷争,而且各地水平也不太相同。
比如今天粤康码提示国家政务服务相关接口崩了。



“各省二维码是否互通”
据我所知,会统一上传国家。
可以理解为互通。
比如今天,粤康码就显示,国家政务的相关接口崩了。导致数据无法上传。



“目前谁可以检查二维码有效性?”
暂时没见过检测有效性的,扫健康码的。不清楚。


我觉得真的有些事是国情不同。
国人还是比较顺从的,对于疫苗、核酸、隐私,抗拒性也不大。
所以二维码哪怕充满可伪造的漏洞,大体影响不大。
而且国内调查起来也很方便,比如要是搞个假二维码发出去(有人弄过),一是很容易被逮到,二是逮到之后可以让你尝尝社会主义铁拳。风险回报完全不等。



每个省虽然有各自的二维码,但基本互联互通(比如行程数据,估计都是能拿到的),所以欧盟中的各国和欧盟配合的做法,我们不太需要。
A555
2021-08-02 17:25:06 +08:00
@Dkngit #14 如果可以静态二维码,多少人不会再去主动查询自己的状态了呢
lagoon
2021-08-02 17:26:25 +08:00
又看了看,楼主说的静态,应该是要建立在扫的基础上。

大陆现在是不用扫,直接做成了动态。
方便用户发现,一天打开好几次,自然知道。

另外好奇,欧盟扫,不慢吗?
比如早上办公楼、地铁口,一群人,肉眼看的速度,和扫的速度,天壤之别。


我觉得根本区别在于,欧洲如果不扫,那么伪造的太多。
以什么罪判呢?给多少处罚呢?

中国比较顺从,威吓效果很大(你敢伪造你就等着铁拳吧),伪造风险较少。
oIMOo
2021-08-02 17:29:03 +08:00
关于第三方商业公司 @hiplon @xingshu1990

技术方面肯定是有人要做,我个人觉得正常思路是国.家提供统一的标准甚至接口,部分权限和规则可以下放给各省(参考欧盟和其中各国的关系)。无论微信还是支付宝,他们只应该是个媒介,任何调用相关 API 的都可以出示二维码。现在只能出示这俩(不讨论通信运营商的行程二维码),是我觉得不合理的地方。

这就像我觉得微信只是聊天的,其它功能我觉得是累赘;同理支付宝就是付钱的,搞社交也是累赘。所以把我的个人信息强制与其绑定,我也觉得不合理。

关于动态二维码和肉眼检测 @Daylight1993 @Tianao @A555 @xingshu1990 @3dwelcome

看了大家的评论,我发现这其实基本上是一个问题。
如果建立在”肉眼检测“的基础上,且是因为“人多”和“成本”,我可以勉强说服自己。不过想想二维码在我国已经使用了这么久,大家其实对“使用设备验证”(而不是肉眼)已经有了习惯,增加相关的配套设施,基本上不是困难 (前提还是有统一的 api )。

如果不建立在肉眼检测的基础上,我比较好奇目前是如何实现的追踪?
比如说一例阳性去过某餐厅,后坐车前往某地居住。这种都是由企业来提供的数据,无论是国企还是私企。事后追踪,和码本身没什么关系,所以这种情况是一样的。
说说实时的显示状态:
欧盟的码是单色的,用检测 app 才会显示颜色。那么同理,检测的时候,如果本人阳性,直接在服务器端标注。
其他密接依然由相关的商业公司提供,同样在服务器端标注,甚至数据可以一定程度上脱敏,好像也没什么区别。
oIMOo
2021-08-02 17:37:53 +08:00
@A555 @lagoon
我好像没有主动检测自己码的动机,如果我检测结果阳性,自然有检测机构通知我;如果我是密接,相关部门也会联系我(欧洲做的不行,但是我相信国内这点无限趋近 0 失误)。

关于欧洲这边的扫码:据我的了解,部分国家的要求是饭店和商场检查(没什么商家执行)。地铁火车什么的,因为 ID 是随机查,所以也没有什么检查的规则。只有航班是强制检查的,而且是登机口检查,再加上人少,所以基本不会拥堵。
这边的阳性一般都是通过免费测试、付费测试和有症状看病发现的。
回归正题:既然是防止伪造,防卫机制建立在“技术屏障”,而不是“困难问题 hardness assumption”,这是我觉得不可理解的……
Dkngit
2021-08-02 17:50:59 +08:00
@oIMOo “关于第三方商业公司”
我仔细思考了下,在国内这个环境下,微信和支付宝其实就是国家的。
并不是裁判和球员的关系,是主子和奴才的关系

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/793195

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX