Sinusubaybayan Ka Ba ng Mga QR Code Generator? Paano Suriin sa 30 Segundo
Ang paggawa ng QR code ay mukhang walang panganib: pinupunan mo ang isang form, nakakakuha ka ng imahe. Ang hindi mo nakikita ay kung ano ang nangyayari sa data na na-type mo — kung nananatili ito sa iyong browser o pumupunta sa server ng provider.
Para sa WiFi, vCard, mga bayad, at anumang personal na data, mahalaga ang pagkakaibang iyon.
Mabilis na Sagot
- Ang mga online na QR generator ay maaaring mag-track ng dalawang natatanging bagay: ang data na inilalagay mo (password, contact, URL) at kung sino ang nag-scan ng QR pagkatapos.
- Ang tracking ng inilalagay na data ay nakadepende kung ang generation ay server-side (ang data ay pumupunta sa isang server) o client-side (lahat ay nangyayari sa iyong browser).
- Ang tracking ng mga scan ay posible lamang sa dynamic na QR: ang QR ay nagtuturo sa isang provider URL na naglo-log ng bawat pagbisita.
- Maaari mo itong i-verify sa loob ng 30 segundo gamit ang DevTools ng iyong browser (ang tab na Network) habang ginagawa ang QR.
- Kung naglalagay ka ng sensitibong data (WiFi, vCard, mga bayad), gumamit ng client-side na mga generator, walang signup, ideally open source.
Anong Uri ng Tracking ang Umiiral sa isang QR Generator
Tatlong natatanging layer:
1. Tracking ng Data na Inilalagay Mo
Kapag pinupunan mo ang form (SSID, password, contact, URL), ang impormasyong iyon ay maaaring:
- Manatili sa iyong browser at hindi kailanman maipadala kahit saan (client-side generation).
- Pumunta sa server ng provider para buuin ang imahe at ibalik ito (server-side generation). Maaari itong manatili sa mga log, analytics, o database.
Karamihan sa mga online na generator ay server-side bilang default, dahil ito ang pinakamadaling implementasyon. Hindi iyon nangangahulugang malisyoso ang provider, pero nangangahulugan itong ang iyong data ay dumadaan sa kanilang imprastruktura.
2. Tracking ng User na Gumagawa ng QR
Tulad ng anumang website, ang generator ay maaaring magkaroon ng:
- Analytics (Google Analytics, Plausible, Matomo, atbp.).
- Third-party na cookies at ad pixels (Meta, TikTok, Google Ads).
- Browser fingerprinting para matukoy ka nang walang cookies.
- Mandatory na account na nagtatali ng bawat QR na ginagawa mo sa iyong pagkakakilanlan.
Ito ay hiwalay sa QR generation mismo, pero bahagi ito ng package.
3. Tracking ng Sino ang Nag-scan ng QR
Naaangkop lamang sa dynamic na QR: ang code ay nagtuturo sa isang short provider URL (qr.xx/abc123) na nagre-redirect sa tunay na destinasyon. Ang bawat redirect ay naglo-log ng:
- Eksaktong oras ng scan.
- IP ng user (kaya approximate na lokasyon).
- Uri ng device, OS, browser.
- Referer kung mayroon.
Sa isang dynamic na QR, ang scan tracking ay hindi aksidente — ito ang dahilan ng pag-iral ng produkto.
Paano Makita Kung Sinusubaybayan Ka ng Iyong Generator (Hindi Kailangan ng Coding)
Tatlong minuto sa anumang modernong browser:
- Buksan ang generator na plano mong gamitin.
- Pindutin ang F12 (o right-click → Inspect) at pumunta sa tab na Network.
- Pindutin ang pulang record button / panatilihing bukas ang tab at i-clear ito (ang ⌀ button).
- Punan ang QR form ng anumang data at pindutin ang "generate".
- Tingnan ang mga request na lalabas sa listahan.
Ano ang hahanapin:
- Kung walang bagong request na lalabas sa panahon ng generation: ang QR ay ginagawa nang 100% sa iyong browser. Client-side. ✅
- Kung lalabas ang isang
POSTrequest sa isang provider URL sa tamang oras na pinindot mo ang generate, na may iyong mga field (SSID, password, atbp.) sa payload: ang iyong data ay pumupunta sa server. Server-side. ❌ para sa sensitibong data - Kung ang tugon ay ang QR image (PNG o SVG) na ginawa ng backend: kinukumpirma nito na ang server ang nagtatayo ng code.
Suriin din kung naglo-load ang page ng Google Analytics, Meta Pixel, o iba pang tracker scripts (makikita mo ang mga request sa google-analytics.com, googletagmanager.com, connect.facebook.net, atbp.).
Mga Malinaw na Red Flag
Nang walang DevTools, ilang mabilis na indicator:
- Nangangailangan sila ng signup o account para gumawa ng basic na QR.
- Mayroon silang "PRO" plan na may detalyadong scan tracking: kung iyon ang kanilang business model, ang tracking ay nasa DNA ng produkto.
- Ang na-download na QR ay nagdadala ng kanilang URL sa halip ng iyo (
qr.xx/abc123sa halip ngiyongdomain.com): ito ay isang dynamic na QR, awtomatikong tina-track. - Ang privacy policy ay nagbanggit ng pagbabahagi ng data sa mga third party, marketing partners, o advertising na gamit.
- Hindi nila inilalathala ang source code at ang tool ay libre nang walang malinaw na business model: may nagbabayad para dito, karaniwang ang iyong data.
Paano I-verify na ang isang Generator ay Client-Side
Mabilis na checklist:
- Gumagana nang offline: idiskonekta ang iyong WiFi, i-reload ang page, at subukang gumawa. Kung gumagana ito, client-side ito. Kung hindi ma-load o hindi ka maka-generate, nakadepende ito sa server.
- Walang network request kapag gumagawa (nabeberipikahan sa DevTools tulad ng nasa itaas).
- Hindi kailangan ng account, walang email.
- Ang source code ay inspectable (open source o unminified na JavaScript).
- Ang destinasyon ng QR ay eksakto kung ano ang na-type mo, hindi isang shortened provider URL.
Kung lahat ng lima ay totoo, ang generator ay hindi makakatracks sa iyo o sa sinumang nag-scan ng code.
Bakit Pinakamahalaga Ito para sa WiFi, vCard, at Mga Bayad
Para sa isang pampublikong URL (ang iyong business website, isang pampublikong PDF), ang generator na "nakakakita" ng iyong URL ay walang dagdag na panganib: ito ay magiging pampubliko naman.
Pero may tatlong uri ng QR kung saan ang tracking ay kritikal:
- WiFi: ang password ng iyong network. Kung pumunta ito sa server ng provider, wala ka nang kontrol dito.
- vCard: personal na telepono, email, address. Personal na data na saklaw ng Republic Act 10173 (Data Privacy Act of 2012) ng Pilipinas.
- Mga Bayad / Bitcoin: wallet, IBAN, data ng bangko. Ang pinakamataas na antas ng sensitivity.
Para sa mga kasong ito, ang paggamit ng isang client-side na generator ay hindi paranoia — ito ay basic na hygiene.
Open Source vs Proprietary
Ang isang generator na open source ay hindi sa sarili nitong nagga-garantiya ng higit na privacy, pero nagbibigay-daan ito sa iyo na:
- I-audit ang code at i-verify na walang nakatagong tracking.
- Kumpirmahin ang client-side na logic nang hindi tinatanggap ang salita ng provider.
- Self-host ito kung gusto mo ng buong kontrol.
Ang isang proprietary na generator ay maaaring maging kasingprivate, pero nangangailangan ito ng pagtitiwala sa kung ano ang sinasabi ng provider. Nang walang auditable na code, walang paraan para ma-verify.
Sa praktis: open source + walang account + walang network sa panahon ng generation = ang pinakamataas na makatwirang privacy standard.
Konklusyon
Halos bawat online na QR generator ay nagpoproseso ng iyong data sa sarili nitong server. Iyon ay fine para sa isang pampublikong URL, pero mapanganib para sa WiFi, vCard, o mga bayad. Para ma-verify sa loob ng 30 segundo, buksan ang DevTools, pumunta sa Network, at tingnan kung nagpapadala ang iyong browser ng anumang request kapag gumawa ka ng QR. Kung hindi, client-side ito at ang iyong nilalaman ay hindi kailanman umaalis sa iyong device.
QRcito ay gumagawa ng bawat QR nang ganap sa iyong browser, walang account, walang network sa panahon ng generation, at walang third-party na tracker. Maaari mo itong i-verify sa pamamagitan ng pagbubukas ng DevTools bago pindutin ang generate.
FAQ
Ano ang ibig sabihin ng "client-side" sa isang QR generator? Ang JavaScript na nagtatayo ng QR image ay tumatakbo sa loob ng iyong browser. Ang data na inilalagay mo ay hindi kailanman ipinapadala sa anumang server. Ang generation ay lokal, instant, at kayang gawin nang offline.
Legal ba para sa isang QR generator na iimbak ang aking data? Kung idineklara ng kanilang privacy policy at tinanggap mo ito, oo. Ang problema ay ang maraming patakaran ay malabo o hindi sumasaklaw sa data na tiyak sa QR. Kung may duda, ipagpalagay na nag-iimbak sila ng kahit ano at pumili ng ibang tool kung sensitibo ang iyong data. Ang Republic Act 10173 o Data Privacy Act of 2012 ng Pilipinas ay nagbibigay ng proteksyon sa personal na data ng mga Pilipino.
Maaari bang mag-track ng sinumang nag-scan nito ang static na QR? Hindi. Ang isang static na QR ay hindi dumadaan sa anumang server: ang impormasyon ay pumupunta nang direkta mula sa code patungo sa reader. Ang mga dynamic na QR lamang (na may intermediate na redirect URL) ang makakatracks ng mga scan.
Paano naaangkop ang Data Privacy Act sa mga QR generator? Kung naglalagay ka ng personal na data (pangalan, email, telepono sa isang vCard) sa isang server-side na tool, ang provider ay responsable para sa pagpoproseso sa ilalim ng Data Privacy Act. Para mabawasan ang panganib at mga obligasyon, ang simpleng landas ay ang paggamit ng mga client-side na generator.
Bakit maaaring mag-alok ang QRcito ng lahat nang libre nang walang tracking? Dahil ang paggawa ng mga QR code ay isang magaang na proseso na hindi nangangailangan ng mamahaling imprastruktura. Ang pagiging client-side ay nangangahulugang walang per-user na gastos sa server; nang walang tracking o mga account, walang produkto na ibebenta. Ang site ay tumatakbo sa napakababang gastos, nang walang pangangailangang kumita mula sa mga user.