1. QR Code einer Location finden - ausgedruckt, online, kopiert, egal welche Form Im Test: ein fiktiver Ort in Meißen

2. QR Code Leser: Bild entschlüsseln. Ergebnis: eine URL, die an L. weitergeleitet zum Check-in führt Standardfunktion von vielen Apps.

3. URL kopieren. Wesentlich ist die kryptischeZahl hinter /webapp/

4. Browser: .../scanner/ vor kryptischeZahl einsetzen Ergebnis: Anzahl der Check-ins der Location, insgesamt 1, aktuell 0.

5. Dazu braucht es keinen Login, kein Passwort, keine Nähe zur Location (bin in MV, der Ort ist in Meißen). But wait, da ist noch mehr.

6. .../scanner/can/ einfügen, dann kryptischeZahl Ergebnis: der Scanner der Location Ich hab mal eben 2 Test-Schlüsselanhänger aus Ahlen, Westfalen eingecheckt in Meißen.

7. 2/3 sind jetzt eingecheckt im Testladen "Luca test Meissner". Aber wo ist der Laden eigentlich? Das könnte ein Frauenhaus sein, eine Selbsthilfegruppe, ...

8. .../api/v3/scanners/kryptischeZahl führt weiter. Ergebnis unter anderem: die "locationId". Und das ist tatsächlich die Identifikationsnummer der Location.

9. .../api/v3/locations/ und dann die neue kryptischeZahl. 😓

10. Ergebnis nach den paar Schritten vom QR Code über Einlesen und dann weiter im Handybrowser: "streetName":"Dresdner Straße","streetNr":"5","zipCode":"01662","city":"Meißen","state":"Sachsen","lat":51.1503491,"lng":13.4925709,

11. Was ist schlimmer: Dass jeder mit L. überall Leute einchecken kann, ohne dass sie es ahnen? Oder dass jeder Adressen und Check-in-Zahlen von Locations nachschauen kann? Beides ist Unsicherheit by Design.

12. Ich weiß nicht, wie lang das schon möglich ist bei L. - jedenfalls fehlt es da an Sicherheit. In Tweet 6. sollte das .../scanner/cam/ mit m sein. Vielen Dank fürs Lesen aus der Altstadt von Wismar