vitus_wagner | Телефонное

Поставил mbarcode и abook-qrcode. А то что-то много по всем углам QR-кодов развелось. Надо уметь читать.

И вообще, практика показывает, что надо почаще заглядывать туда где водятся приложения для N900. Community худо-бедно живет и полезная функциональность которая есть на всяких андроидах, иногда тоже появляется.

А что касается abook-qrcode то это по-моему очень правильная идея - передавать контакты с телефона на телефон посредством экрана и камеры, а не посредством всяких bluetooth-ов и Near Field Communication.

Поскольку экраны и камеры они как-то гораздо более стандартизованы.

Запатентовать что-ли систему платежей посредством генерации QR-кода от подписанной электронной подписью платежки...

P.S. А еще подумываю о том, чтобы приложение для FourSquare поставить. Кто-нибудь уже пробовал этим четырехквадратом польдоваться? (ну там с андроидов или айфонов, не обязательно с maemo).

Crossposts: http://vitus-wagner.livejournal.com/638420.html

Flat | Top-Level Comments Only

From:

potan.livejournal.com

Ждем RFC "Передача IP-пакетов через QR-коды".

From:

vitus_wagner

А зачем RFC? Там и так все очевидно. Обычный Point-to-Point link. Только медленныей,

Тут вообще весь интерес в том, что передаваемая информация ПОЛНОСТЬЮ визуально контролируется юзером. Для платежных систем где пользователи часто паранойятся на почве прайваси - самое то.

From:

potan.livejournal.com

Только читать глазами штрихкоды не проще, чем исходники опенофиса...

From:

vitus_wagner

Но и не сложнее ;-)

From:

p_govorun

В сочетании с тем самым rfc1149 будет мощная штука.

From:

vitus_wagner

Не, привязывать к голубиной лапке микро-SD-карту на 32Гб гораздо круче.

From:

p_govorun

32Гб великовато для RFC1149. Максимальный размер IP-пакета 65535 байт.

From:

taris_marh

Запатентуй, запатентуй. Всем польза будет.

From:

wizzard

1. уже есть prior art, open source и patent free
2. который, actually, работает (только мерчантов дефицит)

From:

vitus_wagner

URL?

From:

wizzard

движуха тут http://forum.bitcoin.org/index.php?topic=7724.0 и тут - http://forum.bitcoin.org/index.php?topic=2673.20

ну то есть до widespread adoption этому конечно далеко, но там все запчасти уже есть, осталось только кому-то сделать из этого мерчант-тулкит и будет замечательно.

From:

vitus_wagner

Не, это совсем не про то - это электронная валюта, независимо эмитируемая участниками системы. И что-то там ничего про использование визуальных каналов обмена информации я не помню.

А я про использование QR-кода для передачи обычного банковского платежного поручения в обычной, эмитированной каким-нибудь государством, валюте.

From:

wizzard

> там ничего про использование визуальных каналов обмена информации я не помню.

Ну так вот в этих тредах делают визуальную и материальную (qr на экране и qr на скретчкарте)

> в обычной, эмитированной каким-нибудь государством, валюте.

кстати, а где можно почитать спеки на EFT/SWIFT?

From:

shadowfoto

а оно уже есть и в банках используется, для проведения платежек с бумаги в реалтайме, а не методом перенабивания всей простыни с бумажки в терминал кассира в течение 2-3 дней.
но есть нюансы

From:

vitus_wagner

По-моему, под те патетнты моя схема не попадает. По причине отсутствия бумажных платежных документов.

From:

shadowfoto

вообще я там посмотрел, «патент на изобретение» вообще протух 27.05.2011

хотя не знаю, что это означает для нашего законодательства.

From:

taris_marh

Да, вот тоже хотел ссылочку поклянчить.

From:

taris_marh

Кстати, тогда придётся и платёжку стандартизировать каким-то образом. Хотя бы на уровне: тип карты, номер карты, сумма.

From:

vitus_wagner

Ну да. На самом деле там нужно стандартизировать два вида документов:

1. Информация о счете продавца и цене, которая лепится на продаваемый товар тоже в виде QR-кода (можно бумажного),

2. Платежка, содержащая информацию вида "перевести на такой-то счет продавца с моего счета такую-то сумму. Элекронная подпись". Этот документ генерируется телефоном и показывается видеокамере, укрепленной над прилавком.

Плюс еще PKI нужна. Которая, правда, не обязательно должна работать через QR-коды. Хотя вот передачу заявок в УЦ посредством бумаги с подписью и печатью и QR-кодом PKCS#10 мы уже делали.

From:

p_govorun

Защита от дублирования нужна. Что будет, если платёжку показать одновременно в двух разных местах?

From:

vitus_wagner

В худшем случае с твоего счета два раза спишется проставленная в ней сумма. Поэтому отправитель платежки крайне не заинтересован отправлять ее дважды. А защита от дублирования делается элементарно. В платежку пишется исходящий номер тупо последовательный. А банк смотрит, обрабатывал ли он уже платежку с таким-то номером от такого-то оправителя. Если обрабатывал, то считается что это приехал дубликат и не обрабатывается.

Да, естественно, товар должен отдаваться покупателю только после получения подтверждения из процессингового центра, что платежка принята к обработке.

From:

p_govorun

Я покупаю сепульку. Генерю платёжку, показываю её камере. Враг подглядывает. Он берёт мою платёжку, и тут же показывает её совсем в другом магазине. Его платёж доходит первым (враг хитёр). Враг получает подтверждение, забирает сепульку и скрывается. А я остаюсь со всем этим разбираться.

From:

vitus_wagner

В дрпугом магазине эту платежку показывать бесполезно. Потому что в ней указано "перевести стоимость одной сепульки на счет вот этого магазина"

Ну а что касается того, что враг подглядывает - а тебе глаза на что?
Украсть таким образом платежку - куда сложнее чем украсть pin-код от кредитной карточки, когда ты вводишь его в банкомате.

From:

p_govorun

Возле банкомата больше безопасность, чем в магазине. И то скиммеры ставят.

Что касается "того же самого" магазина" -- враг может быть в другом конце того же самого "Ашана", и никто его там не заметит.

From:

vitus_wagner

То есть враг должен быстро-быстро, в течение нескольких секунд, когда ты уже нажал на телефоне кнопку "представить платежку в виде QR-кода" но еще не поднес его к находящейся от тебя в нескольких сантиметрах считывающей камере, скопировать этот QR-код и поднести к другой считывающей камере?

Как-то очень гемморойно и неудобно. В общем, от такой угрозы можно вообще не защищаться. Дешевле будет охране отловить этого чудака с телеобъективом.

From:

legolegs

Говорун прав, ИМХО. Такая система должна быть способна работать даже если платёжки передаются по открытым каналом. И даже без связи с процессинговым центром, если продавец решит доверять конкретному клиенту. И это можно сделать.

Т.е. платёжка должна содержать:
* счёт плательщика
* счёт получателя
* порядковый номер
* код кассы
* всякие, но необязательные для процессинга, но полезные данные: назначение платежа, дата, место

Хм. Возникает вопрос: что, если банку придут несколько платёжек с одинаковым номером? Думаю, что если не было полностью идентичной платёжки ранее, то такая должна быть принята к оплате (её нельзя отклонить потому что товар-то по ней уже был отпущен).

Тогда можно этим пользоваться так: в магазине на устройстве покупателя генерируется платёжка и передаётся кассе, которая её проверяет, отправляет в банк, банк шлёт подтверждение, касса позволяет отпустить товар. Если банк отказал в транзакции - касса из платёжки генерирует отказ, передаёт на устройство покупателя, покупатель кивает, отказ идёт в банк. Отказ нужен т.к. в противном случае недобросовестный магазин может перепослать платёжку позже, когда у покупателя будут деньги на счету. Платёж и отказ покупатель контролирует на своём устройстве, потому что экранам устройств магазина верить нельзя.

Но возможен и другой сценарий. Если интернета нет или задержка сигнала слишком велика (пинг с Марса 40 минут :) ), а продавец верит покупателю (ну нужна человеку сепулька так и пусть, даже если денег нет (не будет через 20 минут), то когда-то же они появятся, тогда банк их возьмёт) то просто выписывается платёжка и отправляется в банк с попутными оленями. Лежит в сундуке пока интернет не починят.

PS мой коммент ниже был написан до того, как я обновил страницу и увидел удлинение этой ветки дискуссии. Считайте его поглощённым.

From:

assaron.livejournal.com

Так надо платежки сравнивать не только по порядковому номеру клиента, но и по номеру от банка. Таким образом, каждый сможет удостоверится в уникальности платежки.

From:

assaron.livejournal.com

А если пришли две платежки с парой одинаковых номеров, то это какая-то махинация и можно принимать какие-нибудь меры.

From:

p_govorun

Это честному человеку геморройно. А жулики -- они хитрые. Можно поставить рядом с камерой свою камеру. Можно поставить фальшивую камеру. Можно, как ниже написали, подключиться к проводу от камеры.

Но я уже успел придумать защиту: надо на кассе предъявлять паспорт. Ну, или какой-то другой документ, номер которого будет вписан в электронную платёжку.

From:

assaron.livejournal.com

То есть враг последовательно берет то же, что и жертва, и в момент, когда жертва показывает картинку, быстро ее копирует и показывает в другой кассе? Как-то сомнитеьно.

From:

legolegs

Ничего не сомнительно.

>момент, когда жертва показывает картинку

Это может быть и не момент, а долгие секунды. О людях-же речь.

From:

assaron.livejournal.com

Можно отдать это на откуп магазину. Пускай при каждой покупке они генерируют уникаьный код, зависящий, например, от номера кассы, и проверяют, что платежка действительно от нее.

From:

assaron.livejournal.com

А, ну это вы уже написали.

From:

p_govorun

Это общая схема. Дальше начинаются ухищрения. Например: жертва показывает картинку, а касса не работает, потому что какой-то мальчишка только что споткнулся о кабель (или в камеру бьёт мощный инфракрасный луч, или откуда-то берутся сильные помехи, или почему-то сеть перегружена).

From:

legolegs

Ваш девайс должен нумеровать свои платёжки, чтобы их не обналичили дважды, а продавец должен нумеровать себя (или даже товары). И всё это засовывается в платёжку под подпись.

From:

vitus_wagner

Продавец не должен нумеровать себя. Продавца должен нумеровать банк, присваивая ему номер расчетного счета. Что банк и делает.

А товары уже все пронумернованы. Вопрос в том, что без доступа к магазинной базе данных этот номер нифига не значит. А если есть доступ к этой базе, то платежку через этот доступ проще и передать.

Впрочем, наличие в платежке штрих-кода (естественно, в числовом виде) товара - это тоже некоторая степень защиты.

From:

legolegs

>Продавца должен нумеровать банк,

Разумеется. Я в другом комментарии сформулировал лучше: касса. Думайте о сети магазинов с десятками касс: у них один счёт, т.к. организация одна. Ну или отдельные счета у каждой кассы. Типа как адреса в ipv6.

>Вопрос в том, что без доступа к магазинной базе данных этот номер нифига не значит
Но два разных номера значат две разные отдельные сделки. Впрочем, все товары не пронумеруешь, так что наверно на этом защиту не построить. Только облегчить работу следователю, случись чего. Тоже важно.

From:

p_govorun

Можно вписывать в платёжку уникальный номер товара. Я взял сепульку (именно эту) заплатил за неё и контролёр разрешает мне её вынести. Но кто-нибудь обязательно перепутает свою сепульку с какой-нибудь из оставшихся в магазине.

From:

slobin.pp.ru

Буквально вчера начал ставить QR-читалку на свой (не смарт, обычный) мобильник, и -- обнаружил, что она там уже есть. Среди десятка предустановленных приложений, про которые я в первые дни после покупки не смог понять, что они делают, и забил.

... mi prami do poi selcme zo brife ...

From:

arkanoid.livejournal.com

zaploc же.

From:

vitus_wagner

В смысле, вы рекомендуете использовать zaploc, а не bariosquare в качестве клиента?

From:

arkanoid.livejournal.com

А barriosquare ек. То есть оно наполовину ек несколько месяцев назад, когда сломались чекины в места с русскими буквами в названии, а скоро вообще этот api официально закроют, как устаревший.