Standartlar

Tanıdığımız her QR standardı, açıklamalı

Bir QR kodu bir kaptır. İçinde ödeme, aşı kaydı, ehliyet, eSIM, geçiş anahtarıyla giriş veya akıllı ev eşleştirme olabilir; her biri kendi uluslararası standardı ve tehdit modeli olan ayrı bir dünya. Burada tarayıcımızın tanıdığı her standart için yetkili referans bilgisi, taradığınızda gerçekte içinde ne olduğu ve tam olarak ne gösterdiğimiz ile kasıtlı olarak neyi maskelediğimiz yer almaktadır.

Tarayıcıyı deneyin → Tam kapsamı görün →

Ödeme standartları

Son beş yılda bir tüccar ödemesi yaparken taradığınız her QR, EMVCo'nun TLV çerçevelemesi üzerinde çalışır; ancak içerik ülkeye özgüdür. Belirli şemayı tanımlar, ödemeden önce doğrulamanız gereken tüccar alanlarını çözümler ve çıkartma değiştirme saldırganlarının taklit edemeyeceği CRC sağlama toplamını doğrularız.

EMVCo MPM / CPM

Küresel olarak her tüccar tarafından sunulan QR ödemesinin temel standardı. Tüccar adı, şehir, ülke, para birimi, tutar, alıcı hesap bilgileri ve CRC-16/CCITT-FALSE sağlama toplamı içeren Etiket-Uzunluk-Değer çerçevelemesi.

Gösterdiğimiz alanlar: tüccar adı, şehir, ülke, ISO 4217 para birimi (169 kodlu tam tablo), MCC kategorisi, tutar, dinamik veya statik, bahşiş göstergesi ve ek veri alt alanları (referans etiketi, fatura numarası, müşteri etiketi, terminal etiketi, amaç).

Tehdit puanlaması: geçersiz CRC → şüpheli (QR değiştirilmiş veya bozulmuş; çıkartma değiştirme saldırısının en güvenilir sinyali).

Çıkartma değiştirme derinlemesine inceleme → · Oluşturucu referansı →

Pix (Brazil)

Brezilya Merkez Bankası'nın anlık ödeme şeması. İşlem hacmi açısından dünya lideri. İki türü vardır: statik (yeniden kullanılabilir) ve dinamik (gömülü işlem kimliği ile tek seferlik QR).

Gösterdiğimiz alanlar: alıcı Pix anahtarı (CPF / CNPJ / e-posta / telefon / EVP UUID), ödeme açıklaması, mevcut olduğunda dinamik QR URL'si.

Nasıl oluşturulur →

UPI (India)

Hindistan'ın Birleşik Ödeme Arayüzü, kullanıcı sayısı açısından dünya lideri. UPI Sanal Ödeme Adresi (VPA), ödemeleri bankalar arasında gerçek zamanlı olarak yönlendirir.

Gösterdiğimiz alanlar: alacaklı VPA, alacaklı adı, tutar, para birimi, işlem referansı, MCC, işlem notu.

Nasıl oluşturulur →

Swiss QR-bill

ISO 20022 SPC v2.2, EMVCo değil. Turuncu/kırmızı İsviçre ödeme makbuzunun yerini alır. Alacaklı, nihai alacaklı, nihai borçlu, referans türü (QRR / SCOR / NON), fatura bilgisi ve alternatif prosedürleri kapsayan 33 satır sınırlı alan.

Gösterdiğimiz alanlar: alacaklı IBAN, tam alacaklı adresi, nihai borçlu, tutar, para birimi, güzel baskılı referans türü, yapılandırılmış referans, yapılandırılmamış mesaj, eBill alternatif prosedür URL'si.

Nasıl oluşturulur →

EPC Girocode (SEPA)

Avrupa Ödemeler Konseyi kredi transferi QR'si. Almanya, Avusturya, Hollanda ve İskandinav ülkelerinde fatura ödemesinde yaygın olarak kullanılmaktadır.

Gösterdiğimiz alanlar: lehdar adı, IBAN, BIC, tutar, havale bilgisi, amaç kodu.

Nasıl oluşturulur →

ZATCA Fatoora (Saudi Arabia)

Krallıktaki her ticari işlemde zorunlu, kriptografik olarak imzalanmış faturalandırma. Beş zorunlu etiket (satıcı, KDV numarası, zaman damgası, toplam, KDV tutarı) ve ECDSA imzası içeren TLV kodlaması.

Gösterdiğimiz alanlar: satıcı adı, KDV kayıt numarası, ISO 8601 zaman damgası, fatura toplamı, KDV tutarı.

Nasıl oluşturulur →

Ve çok daha fazlası: 54 ülke için ulusal ödeme şemalarını tanımlarız: PromptPay (Tayland), PayNow (Singapur), DuitNow (Malezya), QRIS (Endonezya), Bizum (İspanya), Swish (İsveç), MB WAY (Portekiz), BLIK (Polonya), Wero (AB) ve çözümleyici kataloğunda yer alan onlarca daha fazlası.

Sağlık kimlik bilgileri

Aşı kayıtları, reçeteler, laboratuvar sonuçları ve seyahat sertifikaları. Ulusal sağlık otoriteleri tarafından kriptografik olarak imzalanmış. Kimlik bilgisini ve türü tespit ederiz; ancak hastanın adını, doğum tarihini veya tıbbi geçmişini kasıtlı olarak çözümlemeyiz. Bu bilgilere bakmak için cüzdan uygulamanız doğru yerdir.

SMART Health Cards

FHIR kaynaklarıyla bir DEFLATE sıkıştırılmış JSON yükü saran numerik kodlu JWS. Apple Wallet, Common Trust Network, ABD eyaletleri, Kanada eyaletleri ve çeşitli eczane zincirlerinde aşı ve laboratuvar kayıtları için kullanılmaktadır.

Gösterdiğimiz alanlar: veren URL, düzenleme ISO zaman damgası, kimlik bilgisi türü (covid19 / immunization / lab vb.), FHIR sürümü, kaynak sayısı ve türleri.

Hiçbir zaman çözümlemeyiz: hasta adı, doğum tarihi, aşılama/test tarihleri, tekil FHIR kaynak gövdeleri. Çözümleyici paketinde test kapılıdır.

EU Digital COVID Certificate (HC1)

HC1: öneki, AB tanımlı HCERT talebine kadar uzanan bir base45 → DEFLATE → COSE_Sign1 → CBOR → CWT zincirini sarmalar. COVID acil durumu sona erdikten sonra bazı üye devletlerde COVID dışı seyahat belgeleri için hâlâ kullanılmaktadır.

Gösterdiğimiz alanlar: veren ülke (ISO 3166-1), düzenleme/başlangıç zaman damgası, son kullanma zaman damgası, şema sürümü, kimlik bilgisi türü (aşılama / test / iyileşme), hedef hastalık (SNOMED-CT, ham 840539006 kodu değil "COVID-19" olarak gösterilir), aşılama/test ülkesi, veren kurum, doz numarası/toplamı, test türü, test sonucu.

Hiçbir zaman çözümlemeyiz: hasta adı, doğum tarihi, aşı tarihleri, benzersiz sertifika kimliği (UVCI). Test kapılıdır.

Kimlik belgeleri

Sürücü belgeleri, mobil kimlikler ve dijital kimlik cüzdanları. ABD sürücü belgesinin arkasındaki barkod, öndeki her alanı kodlar. Mobil sürücü belgesi QR'si, bir doğrulayıcının NFC/BLE üzerinden bağlanıp öznitelikleri okuyabilmesi için bir bağlantı el sıkışması iletir.

AAMVA driver license

Her ABD ve Kanada ehliyet kartının arkasındaki PDF417 barkodu. AAMVA Kart Tasarım Standardı ek D.12.5'e göre alt dosya öğesi biçimi.

Gösterdiğimiz alanlar (~17 alan): ad/ikinci ad/soyadı, ISO biçimli doğum tarihi, cinsiyet, boy, göz rengi, lisans numarası (maskeli), lisans sınıfı, kısıtlamalar, onaylar, son kullanma tarihi, düzenleme tarihi, tam adres, ülke, organ bağışçısı bayrağı, gazî bayrağı ve 21 yaş altı eşiği.

Varsayılan olarak hassas: lisans numarası ve doğum tarihi, dokunarak göster şeklinde maskelenmiş alanlar olarak görünür; böylece karar ekranının bir ekran görüntüsü kimlik sızıntısına yol açmaz. Gizlilik uyarısı, bar ve kulüplerin kimlik kartınızı taradığında yaş bilgisinin ötesinde tüm bu verilere eriştiğini hatırlatır.

Tam anatomisi → · Oluşturucu referansı →

Mobile Driver License (ISO 18013-5)

iOS/Android mobil sürücü belgenizin doğrulayıcıya gösterdiği mdoc: QR'si. Şifre paketi seçici, tutucunun geçici ortak anahtarı ve doğrulayıcının bağlanmak için kullanabileceği aktarım yöntemleri listesini içeren CBOR DeviceEngagement.

Gösterdiğimiz alanlar: protokol sürümü, şifre paketi (bugün zorunlu olan P-256 ECDH-ES + A256KW), desteklenen aktarım yöntemleri (NFC / BLE / Wi-Fi Aware), mevcut olduğunda sunucu alma ana bilgisayarı.

Hiçbir zaman çözümlemeyiz: tutucunun geçici ortak anahtar baytları (yalnızca uzunluk olarak gösterilir). Gerçek mDL öznitelikleri, doğrulayıcı bağlandıktan sonra müzakere edilen kanal üzerinden akar; bu tarayıcı aracılığıyla asla geçmez.

Tam mDL kılavuzu →

EU Digital ID Wallet (eIDAS 2.0)

Sınır ötesi kimlik sunumu için OpenID4VP ve eudi-openid4vp şemaları. Üye devlet uygulamaları 2024-2026 döneminde hız kazanmaktadır.

Gösterdiğimiz alanlar: protokol ailesi (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri ana bilgisayar adı, imzalı istek akışları için request_uri ana bilgisayar adı, response_mode.

DID URIs

Merkezi olmayan kimlik tanımlayıcıları: did:web, did:key, did:ion, did:ebsi ve diğer yöntemler.

Gösterdiğimiz alanlar: DID yöntemi, yönteme özgü tanımlayıcı, hizmet parametresi, göreli referans, doğrulama parçası.

Kimlik doğrulama ve geçiş anahtarları

Her hesabınızı koruyan (ya da tehlikeye atan) QR ile giriş akışları. Her türü tanımlar ve bir QR sizin yerinize başka birinin girişini tamamlamanızı istediğinde net biçimde uyarırız.

FIDO CTAP 2.2 hybrid

Telefonunuzla geçiş anahtarıyla giriş yaptığınızda dizüstü bilgisayarınızın gösterdiği çapraz cihaz geçiş anahtarı QR'si. Eş ortak anahtar, QR sırrı, işlem ipucu, tünel sunucusu alanı, zaman damgası ve durum yardımı bayrağını içeren base10 kodlu CBOR haritası.

Gösterdiğimiz alanlar: işlem (make-credential / get-assertion / discoverable), tünel sunucusu alanı (ör. cable.ua5v.com), ISO zaman damgası, durum yardımı desteği, eş-pubkey uzunluğu, QR-sırrı uzunluğu.

Sert uyarı: bu QR'yi taramak BAŞKA BİR CİHAZDA BAŞLATILAN bir girişi tamamlar. Az önce kendiniz bir geçiş anahtarı girişi başlatmadıysanız redderin; aksi takdirde bu QR'yi oluşturan kişiyi hesabınıza giriş yaptırmış olursunuz.

Bu geçiş anahtarı giriş QR'sini taramalı mıyım? →

HOTP / TOTP (2FA setup)

RFC 4226 / RFC 6238 tek kullanımlık şifre kurulum QR'leri. Bankanızın veya iş uygulamanızın kimlik doğrulayıcı kayıt sırasında gösterdiği otpauth:// URI'si.

Gösterdiğimiz alanlar: veren, hesap, algoritma (SHA1 / SHA256 / SHA512), hane sayısı (6 / 8), periyot (TOTP) veya sayaç (HOTP), veren simge URL'si.

Varsayılan olarak hassas: Base32 sırrı dokunarak göster şeklinde görünür. Ayrıca Base32 sırrını doğrularız ve biçimsiz olduğunda net biçimde uyarırız; kimlik doğrulayıcı uygulamalar biçimsiz sırrı sessizce kabul eder, ardından asla doğrulanamayan kodlar üretir.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Google Authenticator toplu dışa aktarma QR'si. Kimlik doğrulayıcıdaki her 2FA sırrını aynı anda taşır; N OtpParameters girdisi içeren bir protobuf paketi.

Gösterdiğimiz alanlar (girdi başına): veren, hesap, tür (HOTP / TOTP), algoritma, hane sayısı, sayaç ve sürüm/toplu meta veri. Açıklama, gerçekten geçiş ortasında olan bir kullanıcının içe aktarmadan önce denetleyebilmesi için "Bu paketteki izinler: ACME / alice@acme; GitHub / bob@github; …" biçimini listeler.

Hiçbir zaman çözümlemeyiz: gerçek sır tohumu baytları. Herhangi bir karar çıktısında asla görünmemesi gereken canary dizeleriyle test edilmiştir.

Sert uyarı: kullanıcı kesinlikle kendi cihazları arasında geçiş yapıyorsa tehdit sınıfı likely_dangerous'tır.

Tam anatomi + güvenlik kılavuzu →

Sign-In with Ethereum (SIWE / EIP-4361)

Cüzdanınızın bir web sitesine cüzdan adresi kontrolünü kanıtlamak için imzaladığı düz metin giriş mesajı.

Gösterdiğimiz alanlar: site alanı, cüzdan adresi, zincir kimliği, nonce, son kullanma süresi.

Uyarı: siteyi ve beyanı dikkatlice okuyun; kötü amaçlı bir site, imzalı SIWE mesajını o alanda sizi taklit etmek için kullanabilir.

Seyahat ve biletler

IATA boarding pass (Resolution 792)

Uçak biniş kartınızdaki QR / Aztec / PDF417. Segment başına 60 karakterlik sabit genişlikte başlık artı 37 karakterlik zorunlu veri.

Gösterdiğimiz alanlar (segment başına): taşıyıcı kodu + uçuş numarası (sıfırsız), rota (NEREDEN → NEREYE), tarih (Jülyen günü → akıllı yıl ilerletmeli ISO), koltuk, sınıf, sıra numarası, durum (Bindi / Salon erişimi / Güvenliği geçti vb.). Çok segmentli biniş kartları segment satırı ön ekleri alır.

Varsayılan olarak hassas: PNR / rezervasyon referansı dokunarak göster şeklinde maskelenir; adınız ve PNR birlikte çoğu havayolu web sitesinde rezervasyona erişmek için yeterlidir. Biniş kartı fotoğraflarını kamuoyuyla paylaşmayın.

Alan alan tam kılavuz →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Gösterdiğimiz alanlar: SM-DP+ FQDN (telefonunuzla iletişim kuracak operatör sunucusu), etkinleştirme kodu, onay kodu gereksinim bayrağı.

Uyarı: yüklenen bir eSIM profili SMS'leri ele geçirebilir; bu, SMS tabanlı 2FA kodlarını da kapsar. Yüklemeden önce SM-DP+'nın gerçek operatörünüzle (Airalo, Saily, Truphone, Google Fi vb.) eşleşip eşleşmediğini izin verilenler listesiyle doğrulayın.

eSIM etkinleştirme QR'leri nasıl çalışır →

Akıllı ev ve IoT

Matter onboarding

Connectivity Standards Alliance'ın MT: önekli base38 paketlenmiş ikili kodu. Apple Home, Google Home, Amazon Alexa ve Samsung SmartThings'te çalışan çapraz satıcı akıllı ev eşleştirmesi.

Gösterdiğimiz alanlar: Satıcı kimliği, Ürün kimliği, ayırt edici, 8 haneli kurulum şifresi (hassas-maskeli), özel akış, keşif yeteneği bayrakları (Soft-AP / BLE / mevcut IP ağı), spec sürümü.

Tam Matter kılavuzu →

Apple HomeKit (X-HM://)

Apple HAP aksesuar kurulum URI'si. Matter'dan önce gelir; Matter desteği henüz olmayan pek çok aksesuarda hâlâ bulunur.

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Cihaz Sağlama Protokolü, WPS'nin modern alternatifi. 2025 model yönlendiricilerde QR tabanlı cihaz ekleme için kullanılmaktadır.

Bluetooth Auracast (BAU v1.0)

Bluetooth SIG'in LE Ses yayınları için QR düzeni. 184F hizmet UUID'si Auracast'i tanımlar; yayın adını (base64 çözümlenmiş) ve şifreleme durumunu gösteririz.

Kripto ve Lightning

Bitcoin (BIP-21)

Standart Bitcoin ödeme URI'si. Adres, miktar (BTC/sat birimi ile), etiket, mesaj, PayJoin uç noktası (pj=), BIP-72 ödeme isteği URL'si (r=), zorunlu (req-*) parametreler ve Lightning yedeğini gösteririz.

Ethereum (EIP-681)

Zincir seçimli Ethereum ödeme isteği URI'si. Alıcı ile kontrat, insan tarafından okunabilir etiketli zincir kimliği (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), değer (wei → ETH/Gwei güzel baskı), işlev çağrısı adı ve ERC-20 transfer argümanlarını çözümleriz.

Uyarı: bir kontrat çağrısı basit bir gönderme işlemiyle aynı şey değildir; cüzdan boşaltıcılar kullanıcıların bu farkı fark etmemesine güvenir.

WalletConnect (ERC-1328)

Merkeziyetsiz uygulama ile cüzdan eşleştirme URI'si. Sürüm (v2 güncel; v1 kullanımdan kalkmış ve daha zayıf), konu, röle protokolü ve oturum simetrik anahtarını (hassas-maskeli) gösteririz.

Solana Pay

Solana Foundation'ın transfer isteği URI'si. Alıcı, miktar, SPL token mint, etiket, referans, mesaj, memo gösteririz.

Lightning Network (BOLT-12, LNURL)

BOLT-12 teklifleri (lno1…) yeniden kullanılabilir Lightning ödeme istekleridir. LNURL (lnurl1…), cüzdanınızın fatura almak, para çekmek, kanal açmak veya kimlik doğrulamak için çağırdığı bir HTTPS uç noktasını bech32 kodlamasıyla kodlar.

Cashu ecash

Taşıyıcı ecash token'ı. Diğer tüm kripto biçimlerinden farklı olarak QR'nin kendisi paradır; fotoğraflayan herkes harcayabilir.

Varsayılan olarak hassas: token dizesi maskelenir; karar, QR'nin harcanmamış değer taşıdığını net biçimde uyarır.

Nostr (NIP-19)

Bech32 kodlu Nostr tanımlayıcıları. npub (genel anahtar), nsec (özel anahtar, sert uyarı), note, nevent, nprofile, naddr, nrelay tanırız.

nsec hassas: QR'deki bir Nostr özel anahtarı, tutucunun kimliğinin ele geçirildiği anlamına gelir. Bunu bir kimlik bilgisi sızıntısı olarak işaretleriz.

Endüstriyel ve mevzuat

GS1 Digital Link

1-D barkodların yerini alacak standart. URL yolundaki Uygulama Tanımlayıcıları GTIN, parti/lot, üretim/son kullanma tarihi, seri numarası ve daha fazlasını kodlar.

Gösterdiğimiz alanlar: GTIN (01), parti/lot (10), üretim tarihi (11), son tüketim tarihi (15), son kullanma tarihi (17), seri numarası (21) ve ek AI'ler adlandırılmış alanlar olarak.

GS1 Dijital Link nasıl oluşturulur →

EU Digital Product Passport

AB düzenlemesi, 2027'den itibaren her tüketici ürününün sürdürülebilirlik, köken ve onarım bilgilerini içeren dijital bir pasaport taşımasını zorunlu kılmaktadır. Ürün başına pasaport sayfalarına çözümlenen GS1 Dijital Link URL'leri üzerine inşa edilmiştir.

QR'nin kendisi bugün GS1 Dijital Link çözümleyicimizle çözümlenmektedir; URL'nin ötesindeki pasaport içeriği her üretici tarafından ayrı ayrı yayınlanmaktadır.

Tam genel bakış + pasaport içeriği →

VPN ve geliştirici kimlik bilgileri

WireGuard config

INI biçimli WireGuard VPN yapılandırması. Arayüz adresi, DNS, dinleme bağlantı noktası, eş uç noktası, izin verilen IP'ler, kalıcı tutma ve ek eş sayısını gösteririz.

Varsayılan olarak hassas: arayüz özel anahtarı ve ön paylaşımlı anahtar dokunarak göster şeklinde görünür. İzin verilen IP'ler 0.0.0.0/0 olduğunda (tam tünel, trafiğinizin tamamı başka birinin sunucusundan geçer) uyarı verilir.

SSH public key

OpenSSH authorized_keys biçimi (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Algoritma, yorum ve anahtar uzunluğunu gösteririz.

X.509 certificate / JWT

PEM zırhlı X.509 sertifikaları ve ham JWT kompakt serileştirmeleri. Konu CN/O, Veren CN, NotBefore/NotAfter ve açık anahtar bit uzunluğunu çıkarmak için sertifikayı DER yoluyla dolaşırız. Süresi dolmuş sertifikaları işaretleriz.

JWT gizliliği: başlıktan alg + typ gösteririz; ancak JWT yük taleplerini HİÇBİR ZAMAN çözümlemeyiz; bunlar hesap kimlikleri, kapsamlar veya tarama sonuçlarında yer almayacak başka sırlar içerebilir.

PGP key block

OpenPGP PUBLIC / PRIVATE KEY bloğu. Yalnızca biçimi gösteririz; anahtar materyali maskelenir. PRIVATE KEY blokları, "bu QR'yi paylaşmayın" şeklinde net bir uyarı alır.

Çözümlediğimiz sembolojiler (görsel kodun kendisi)

Semboloji *kaptır*, nokta ve karelerin şeklidir. Yukarıdaki standartlar *yüktür*, içindekidir. Tarayıcımız her açık standart sembolojiyi okur ve çözümlenen metni doğru çözümleyiciye iletir.

QR Code (ISO/IEC 18004)

Model 1 (1994 orijinali), Model 2 (mevcut küresel standart), Micro QR (küçük bileşenler) ve dikdörtgen Micro QR (rMQR, ISO/IEC 23941:2022, test tüpü gibi dar etiketler).

Data Matrix (ISO/IEC 16022)

Yoğun küçük format sembolojisi. GS1 perakende, DSCSA ilaç, MIL-STD-130 savunma, ATA Spec 2000 havacılık ve ISBT 128 kan ürünleri etiketlemesinde kullanılır.

Data Matrix hakkında daha fazla bilgi →

PDF417 (ISO/IEC 15438)

ABD/Kanada sürücü lisanslarında (AAMVA), kargo etiketlerinde ve FedEx hava irsaliyelerinde kullanılan yığılmış doğrusal semboloji.

PDF417 hakkında daha fazla bilgi →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF — her markette ve kargo etiketinde gördüğünüz doğrusal barkodlar.

Neden önemli

Bir QR'nin güvenliği, URL'sinin güvenliği değil; içindekini yöneten standardın güvenliğidir. Ödeme QR'si tehlikelidir çünkü birisi çıkartmayı değiştirmiştir; geçiş anahtarı QR'si tehlikelidir çünkü birisi sizin yerinize giriş yapmak istemektedir; aşı kaydı QR'si tehlikelidir çünkü onu tutan tarayıcı kimin elinde olduğu önemlidir. Her birini ayrı ayrı, kendi tehdit modeline karşı, tahmin etmek yerine alan düzeyinde çözümleme yaparak modelleriz.

Yukarıdaki her çözümleyici, neyi gösterdiği ve neyi kasıtlı olarak maskelediği konusunda açıktır; böylece iddialarımızı bir kara kutuya güvenmek yerine karar çıktısını okuyarak doğrulayabilirsiniz.

Tam kapsamı görün → Tarayıcıyı deneyin →