Making easy-to-scan #QR codes is an under-appreciated skill.

Not using super long URLs from some verbose CMS is a good start, but there's more tricks:

https://shkspr.mobi/blog/2025/02/why-are-qr-codes-with-capital-letters-smaller-than-qr-codes-with-lower-case-letters/

blog! “Why are QR Codes with capital letters smaller than QR codes with lower-case letters?”

Take a look at these two QR codes. Scan them if you like, I promise there's nothing dodgy in them.

Read more: https://shkspr.mobi/blog/2025/02/why-are-qr-codes-with-capital-letters-smaller-than-qr-codes-with-lower-case-letters/
⸻
#qr #QRCodes

Why are QR Codes with capital letters smaller than QR codes with lower-case letters?

https://shkspr.mobi/blog/2025/02/why-are-qr-codes-with-capital-letters-smaller-than-qr-codes-with-lower-case-letters/

Take a look at these two QR codes. Scan them if you like, I promise there's nothing dodgy in them.

[ QR CODE] [shkspr.mobi]   [ QR Code.] [shkspr.mobi]

Left is upper-case HTTPS://EDENT.TEL/ and right is lower-case https://edent.tel/

You can clearly see that the one on the left is a "smaller" QR as it has fewer bits of data in it. Both go to the same URl, the only difference is the casing.

What's going on?

Your first thought might be that there's a different level of error-correction. QR codes can have increasing levels of redundancy in order to make sure they can be scanned when damaged. But, in this case, they both have Low error correction.

The smaller code is "Type 1" - it is 21px * 21px. The larger is "Type 2" with 25px * 25px.

The official specification [www.qrcode.com] describes the versions in more details. The smaller code should be able to hold 25 alphanumeric character. But https://edent.tel/ is only 18 characters long. So why is it bumped into a larger code?

Using a decoder like ZXING [zxing.org] it is possible to see the raw bytes of each code.

UPPER

20 93 1a a6 54 63 dd 28   
35 1b 50 e9 3b dc 00 ec
11 ec 11

lower:

41 26 87 47 47 07 33 a2   
f2 f6 56 46 56 e7 42 e7
46 56 c2 f0 ec 11 ec 11   
ec 11 ec 11 ec 11 ec 11
ec 11

You might have noticed that they both end with the same sequence: ec 11 Those are "padding bytes" because the data needs to completely fill the QR code. But - hang on! - not only does the UPPER one safely contain the text, it also has some spare padding?

The answer lies in the first couple of bytes.

Once the raw bytes have been read, a QR scanner needs to know exactly what sort of code it is dealing with. The first four bits tell it the mode [www.thonky.com]. Let's convert the hex to binary and then split after the first four bits:

The UPPER code is 0010 which indicates it is Alphanumeric - the standard says the next 9 bits show the length of data.

The lower code is 0100 which indicates it is Byte mode - the standard says the next 8 bits show the length of data.

Look at that! They both have a length of 10010 which, converted to binary, is 18 - the exact length of the text.

Alphanumeric users 11 bits for every two characters, Byte mode uses (you guessed it!) 8 bits per single character.

But why is the lower-case code pushed into Byte mode? Isn't it using letters and number?

Well, yes. But in order to store data efficiently, Alphanumeric mode only has a limited subset of characters available [www.thonky.com]. Upper-case letters, and a handful of punctuation symbols: space $ % * + - . / :

Luckily, that's enough for a protocol, domain, and path. Sadly, no GET parameters.

So, there you have it. If you want the smallest possible physical size for a QR code which contains a URl, make sure the text is all in capital letters.

#NOS: http -> https: *ÉÉN* lettertje!

Om te beginnen: ik stel het op prijs dat op het NOS journaal van 12:00 en 13:05 éérst een Palestijnse meneer aan het woord werd gelaten!

(Daarna een Joodse Janker over de vrij te laten gijzelaars en "terroristen": vanochtend wéér tientallen Gazanen gewond of gedood door de Israeli Destruction Forces, en ook nog geen namenlijst van de door *Israël* vrij te laten, middels "administratieve detentie" in martelmortuaria, gegelijzelde Palestijnen - waaronder kinderen, vrouwen, artsen en journalisten).

On topic: kap met http links!

Opmerkingen:

• De (open) broncode en instructies voor de "App" in het tweede plaatje vind u in https://www.security.nl/posting/829026/iOS+QR-scanner%3A+DHZ%21.
Nb. u hoeft er geen app voor te installeren! Zo'n "opdracht" kan in principe iedereen (met een iDevice) zelf (wel met veel geduld) in elkaar knutselen.

• Als je op een iPhone of iPad een andere dan Safari als voorkeurbrowser hebt ingesteld, ziet u niet welke informatie (zoals een URL) er in een QR-code verstopt zit. Vooral dan is zo'n QR-code lezer erg handig (maar http->https is ook verstandig, vooral als u van public WiFi gebruik maakt).

• Als u Chrome gebruikt op uw iDevice, ga dan in Chrome naar "Instellingen" > "Privacy en Beveiliging" en zet "Altijd beveiligde verbindingen gebruiken" AAN. Dit werkt niet feilloos maar meestal wel. Chrome zet dan zelf http altijd om in https, en als een vetbinding dan niet lukt, vraagt Chrome u of u http wilt proberen. Meer info in https://www.security.nl/posting/803597/werk_nl%3A+geen+https en in "Veilig inloggen": https://www.security.nl/posting/840236/Veilig+inloggen.

• Onder Android en Windows ondersteunen meer browsers "https only" - een misleidend begrip, want http kan gewoon - alleen moet u daar zelf eerst (handmatig) toestemming voor verlenen.

Back Up Your Data On Paper With Lots Of QR Codes - QR codes are used just about everywhere now, for checking into venues, ordering fo... - https://hackaday.com/2024/09/12/back-up-your-data-on-paper-with-lots-of-qr-codes/ #commandline #mischacks #printer #qrcodes #backup #qrcode #linux #paper #print #pdf #qr

Zojuist werd in het TV-programma Radar een QR-code getoond die je zou moeten scannen om via Whatsapp met hen in contact te komen.

Eerst even dit, uit https://radar.avrotros.nl/artikel/qr-code-scannen-zo-check-je-of-deze-betrouwbaar-is-60359 van eerder dit jaar:

« [...]
Op reclamefolders, in restaurants of op de collectebus voor als je geen contant geld hebt: QR-codes vind je tegenwoordig overal. Hoe weet je eigenlijk zeker of de code die je scant wel betrouwbaar is? [...]
Herken je het webadres niet of past het niet bij de code die je hebt gescand? Klik dan niet verder.
[...] »

De link in de zojuist door Radar getoonde QR-code luidt:

   https:⧸⧸s.qrlink.nl/ONVR4U

(die ⧸⧸ zijn unicode karakers die ik bewust heb laten afwijken van // omdat Mastodon anders "https://" überhaupt niet zou laten zien).

Naast dat die "s.qrlink.nl" website (die zich "achter Cloudflare verstopt") het schenden van uw privacy als verdienmodel heeft, waarschuwden vier dagen geleden 12 van 94 virusscanners voor deze website, en 28 dagen geleden waren dat er zelfs 13 (van 94).

Misschien moet Radar hun eigen artikelen raadplegen voordat zij zélf iets de wereld inslingeren?

Daarbij, uit https://radar.avrotros.nl/pagina/tip-radar-via-whats-app-60819:

« Heb jij een tip op een probleem? Voeg het nummer 06 83 65 15 55 toe aan de contacten op je telefoon en stuur ons een bericht. Of klik hier [1]. »

[1] https://api.whatsapp.com/send/?phone=31683651555&text&type=phone_number&app_absent=0

Die URL [1] kan ik met een gratis app op mijn smartphone omzetten naar een QR-code *zonder* dat daar een privacyslurpende derde partij tussen hoeft te zitten (alhoewel WhatsApp ook allesbehalve fris is, maar ik was nu even bezig met een ánder deel van de wereld te verbeteren).

Aanvulling, zojuist is deze pagina toegevoegd: https://radar.avrotros.nl/artikel/via-deze-qr-code-kun-jij-whats-app-en-met-radar-60842

In de daarin getoonde QR-code wijkt de link iets af (de domeinnaam is echter identiek):

     https:⧸⧸s.qrlink.nl/UPUIHK

Aanvulling 2, *OMG* uit die nieuwe pagina (https://radar.avrotros.nl/artikel/via-deze-qr-code-kun-jij-whats-app-en-met-radar-60842, archief: https://archive.is/sgW8q):

« Probeer de QR-code hieronder te scannen. Werkt deze niet? Dan kun je ook via deze link [2] contact opnemen met de Radar-redactie via WhatsApp. »

[2] https://www.google.com/url?q=https://api.whatsapp.com/send/?phone%3D31683651555%26text%26type%3Dphone_number%26app_absent%3D0&source=gmail-imap&ust=1726058390000000&usg=AOvVaw26BM7Fbhoo6Bn24zrV84lb

([2] in vol ornaat: https:⧸⧸www.google.com/url?q=https://api.whatsapp.com/send/?phone%3D31683651555%26text%26type%3Dphone_number%26app_absent%3D0&source=gmail-imap&ust=1726058390000000&usg=AOvVaw26BM7Fbhoo6Bn24zrV84lb)

Zijn er überhaupt nog Nederlanders die *IETS* van ICT snappen?!

Edit 23:30: "omzetten naar een URL" => "omzetten naar een QR-code" (te verwarrende fout mijnerzijds)

The city of #Ottawa warns parking users to not scan the #QR codes that are on parking meters.

They have not been put there by the city. They lead to a scam website.

https://www.cbc.ca/news/canada/ottawa/qr-code-scam-targeting-pay-and-display-parking-machines-city-warns-1.7291281
- - -
La ville d’ #Ottawa avertit les utilisateurs de stationnement de ne pas numériser les codes #QR qui sont sur les parcomètres.

Ils n’ont pas été placés là par la ville. Ils mènent à un site frauduleux.

https://www.ledroit.com/actualites/actualites-locales/ottawa/2024/08/12/attention-au-code-qr-frauduleux-KJEPGDK4L5GWJLSZYNF277OSGY/

blog! “QR Code Hijacking Attempts Are Pretty Inept”

I've been writing about QR codes since 2007 - long before they were fashionable. Because QR Codes are so cheap to produce, there has always been a concern that attackers might print out their own codes and stick them over legitimate ones. When I first wrote about QR Hijacking in 2011, I said that such […]

Read more: https://shkspr.mobi/blog/2024/07/qr-code-hijacking-attempts-are-pretty-inept/
⸻
#CyberSecurity #qr #QRCodes