Слежат ли за вами генераторы QR-кодов? Как проверить за 30 секунд

Создание QR-кода выглядит безобидно: вы заполняете форму и получаете изображение. То, чего вы не видите — что происходит с данными, которые вы ввели: остаются ли они в вашем браузере или отправляются на сервер провайдера.

Для WiFi, vCard, платежей и любых личных данных это различие важно.

Быстрый ответ

• Онлайн-генераторы QR могут отслеживать две разные вещи: данные, которые вы вводите (пароль, контакт, URL) и кто сканирует QR впоследствии.
• Отслеживание введённых данных зависит от того, выполняется ли генерация на стороне сервера (данные передаются на сервер) или на стороне клиента (всё происходит в вашем браузере).
• Отслеживание сканирований возможно только с динамическими QR: QR указывает на URL провайдера, который фиксирует каждый визит.
• Вы можете проверить это за 30 секунд через DevTools браузера (вкладка Сеть) во время генерации QR.
• Если вы вводите чувствительные данные (WiFi, vCard, платежи) — используйте генераторы на стороне клиента, без регистрации, желательно с открытым исходным кодом.

Какие виды слежки существуют в QR-генераторах

Три отдельных слоя:

1. Отслеживание вводимых данных

Когда вы заполняете форму (SSID, пароль, контакт, URL), эта информация может:

• Оставаться в браузере и никуда не отправляться (генерация на стороне клиента).
• Передаваться на сервер провайдера для создания изображения и возврата (генерация на стороне сервера). Затем она может попасть в логи, аналитику или базы данных.

Большинство онлайн-генераторов работают на серверной стороне по умолчанию, потому что это проще реализовать. Это не значит, что провайдер злонамерен, но ваши данные проходят через их инфраструктуру.

2. Отслеживание пользователя, создающего QR

Как и любой сайт, генератор может иметь:

• Аналитику (Google Analytics, Plausible, Matomo и т.д.).
• Сторонние cookies и рекламные пиксели (Meta, TikTok, Google Ads).
• Fingerprinting браузера для идентификации без cookies.
• Обязательный аккаунт, привязывающий каждый QR к вашей личности.

Это независимо от самой генерации QR, но входит в пакет.

3. Отслеживание тех, кто сканирует QR

Применяется только к динамическим QR: код указывает на короткий URL провайдера (qr.xx/abc123), перенаправляющий на реальное назначение. Каждый редирект фиксируется с:

• Точным временем сканирования.
• IP-адресом пользователя (примерное местоположение).
• Типом устройства, ОС, браузером.
• Реферером, если есть.

В динамическом QR отслеживание сканирований — не случайность, это суть продукта.

Как обнаружить, что генератор за вами следит (без кода)

Три минуты с любым современным браузером:

1. Откройте генератор, который планируете использовать.
2. Нажмите F12 (или правый клик → Просмотр кода) и перейдите на вкладку Сеть.
3. Нажмите кнопку записи / держите вкладку открытой и очистите её (кнопка ⌀).
4. Заполните форму QR любыми данными и нажмите «создать».
5. Посмотрите на запросы, появившиеся в списке.

На что обратить внимание:

• Если новых запросов не появляется во время генерации: QR создаётся на 100% в вашем браузере. На стороне клиента. ✅
• Если появляется POST-запрос на URL провайдера сразу после нажатия «создать», с вашими полями (SSID, пароль и т.д.) в теле: ваши данные отправляются на сервер. На стороне сервера. ❌ для чувствительных данных
• Если ответ — изображение QR (PNG или SVG), созданное бэкендом: это подтверждает, что сервер строит код.

Также проверьте, не загружает ли страница Google Analytics, Meta Pixel или другие трекер-скрипты (вы увидите запросы к google-analytics.com, googletagmanager.com, connect.facebook.net и т.д.).

Очевидные тревожные сигналы

Без DevTools — несколько быстрых индикаторов:

• Требуется регистрация или аккаунт для создания базового QR.
• У них есть «PRO»-план с детальным отслеживанием сканирований: если это их бизнес-модель — слежка в ДНК продукта.
• Скачанный QR содержит их URL вместо вашего (qr.xx/abc123 вместо vashdomain.ru): это динамический QR, автоматически отслеживаемый.
• Политика конфиденциальности упоминает передачу данных третьим сторонам, маркетинговым партнёрам или использование в рекламе.
• Они не публикуют исходный код, а инструмент бесплатный без очевидной бизнес-модели: кто-то платит за это, обычно вашими данными.

Как проверить, что генератор на стороне клиента

Быстрый чеклист:

• Работает офлайн: отключите WiFi, перезагрузите страницу и попробуйте создать QR. Если работает — на стороне клиента. Если не может загрузить или создать — зависит от сервера.
• Нет сетевых запросов при генерации (проверяется через DevTools, как описано выше).
• Аккаунт не требуется, email тоже.
• Исходный код проверяем (открытый исходный код или неминифицированный JavaScript).
• Назначение QR — именно то, что вы ввели, а не сокращённый URL провайдера.

Если все пять пунктов выполняются — генератор не может отслеживать ни вас, ни тех, кто сканирует код.

Почему это особенно важно для WiFi, vCard и платежей

Для публичного URL (ваш деловой сайт, публичный PDF) то, что генератор «видит» ваш URL, не несёт риска: он всё равно был публичным.

Но есть три типа QR, где конфиденциальность критична:

• WiFi: пароль вашей сети. Если он попадает на сервер провайдера — он выходит из-под вашего контроля.
• vCard: личный телефон, email, адрес. Персональные данные, защищённые 152-ФЗ «О персональных данных».
• Платежи / Bitcoin: кошелёк, IBAN, банковские данные. Наивысший уровень чувствительности.

Для этих случаев использование клиентского генератора — не паранойя, а базовая цифровая гигиена.

Open source vs проприетарный

То, что генератор с открытым исходным кодом, само по себе не гарантирует большую конфиденциальность, но позволяет:

• Проверить код и убедиться в отсутствии скрытого отслеживания.
• Подтвердить клиентскую логику без необходимости доверять словам провайдера.
• Развернуть самостоятельно если хотите полного контроля.

Проприетарный генератор может быть столь же приватным, но требует доверия к заявлениям провайдера. Без проверяемого кода это невозможно верифицировать.

На практике: открытый исходный код + без аккаунта + нет сети при генерации = наивысший разумный стандарт конфиденциальности.

Итог

Почти каждый онлайн-генератор QR обрабатывает ваши данные на своём сервере. Для публичного URL это нормально, но рискованно для WiFi, vCard или платежей. Чтобы проверить за 30 секунд — откройте DevTools, перейдите в Сеть и посмотрите, отправляет ли браузер какие-либо запросы при генерации QR. Если нет — он на стороне клиента и ваш контент никогда не покидает ваше устройство.

QRcito генерирует каждый QR полностью в вашем браузере: без аккаунта, без сети при генерации и без сторонних трекеров. Вы можете проверить это, открыв DevTools перед нажатием «создать».

Часто задаваемые вопросы

Что означает «на стороне клиента» в QR-генераторе? JavaScript, создающий QR-изображение, работает внутри вашего браузера. Вводимые данные никогда не отправляются на сервер. Генерация локальная, мгновенная и возможна офлайн.

Законно ли для QR-генератора хранить мои данные? Если их политика конфиденциальности это декларирует и вы её приняли — да. Проблема в том, что многие политики расплывчаты или не охватывают данные QR. Если сомневаетесь — допускайте, что они что-то хранят, и выбирайте другой инструмент, если ваши данные чувствительны.

Может ли статичный QR отслеживать тех, кто его сканирует? Нет. Статичный QR не проходит через никакой сервер: информация передаётся напрямую от кода к считывателю. Только динамические QR (с промежуточным редирект-URL) могут отслеживать сканирования.

Как применяется 152-ФЗ к QR-генераторам? Если вы вводите персональные данные (имя, email, телефон в vCard) в серверный инструмент — провайдер несёт ответственность за обработку персональных данных в соответствии с 152-ФЗ. Чтобы минимизировать риски, используйте клиентские генераторы.

Почему QRcito может предлагать всё бесплатно без слежки? Потому что генерация QR-кодов — это лёгкий процесс, не требующий дорогой инфраструктуры. Клиентская сторона означает отсутствие серверных расходов на пользователя; без слежки и аккаунтов нет продукта для монетизации. Сайт работает при очень низких затратах без необходимости монетизировать пользователей.