Công Cụ Tạo QR Có Theo Dõi Bạn Không? Cách Kiểm Tra Trong 30 Giây
Tạo mã QR có vẻ vô hại: bạn điền vào form, bạn nhận được hình ảnh. Điều bạn không thấy là điều gì xảy ra với dữ liệu bạn đã nhập — liệu nó có ở lại trong trình duyệt của bạn hay đi đến server của nhà cung cấp.
Với WiFi, vCard, thanh toán và bất kỳ dữ liệu cá nhân nào, sự khác biệt đó quan trọng.
Trả lời nhanh
- Các công cụ tạo QR trực tuyến có thể theo dõi hai thứ riêng biệt: dữ liệu bạn nhập (mật khẩu, liên lạc, URL) và ai quét QR sau đó.
- Theo dõi dữ liệu nhập phụ thuộc vào việc tạo là phía server (dữ liệu đi đến server) hay phía client (mọi thứ xảy ra trong trình duyệt của bạn).
- Theo dõi lượt quét chỉ có thể với QR động: QR trỏ đến URL của nhà cung cấp ghi lại mỗi lượt truy cập.
- Bạn có thể kiểm tra trong 30 giây với DevTools của trình duyệt (tab Network) khi tạo QR.
- Nếu bạn nhập dữ liệu nhạy cảm (WiFi, vCard, thanh toán), hãy dùng công cụ phía client, không đăng ký, tốt nhất là mã nguồn mở.
Các loại theo dõi tồn tại trong công cụ tạo QR
Ba lớp riêng biệt:
1. Theo dõi dữ liệu bạn nhập
Khi bạn điền vào form (SSID, mật khẩu, liên lạc, URL), thông tin đó có thể:
- Ở lại trong trình duyệt của bạn và không bao giờ được gửi đi bất cứ đâu (tạo phía client).
- Đi đến server của nhà cung cấp để tạo hình ảnh và trả về (tạo phía server). Sau đó có thể nằm trong log, analytics hoặc cơ sở dữ liệu.
Hầu hết các công cụ trực tuyến là phía server theo mặc định, vì đây là triển khai dễ nhất. Điều đó không có nghĩa nhà cung cấp là độc hại, nhưng có nghĩa dữ liệu của bạn đi qua cơ sở hạ tầng của họ.
2. Theo dõi người dùng tạo QR
Như bất kỳ website nào, công cụ tạo có thể có:
- Analytics (Google Analytics, Plausible, Matomo, v.v.).
- Cookie bên thứ ba và pixel quảng cáo (Meta, TikTok, Google Ads).
- Browser fingerprinting để nhận dạng bạn không cần cookie.
- Tài khoản bắt buộc gắn mỗi QR bạn tạo với danh tính của bạn.
Điều này độc lập với việc tạo QR, nhưng là một phần của gói.
3. Theo dõi người quét QR
Chỉ áp dụng với QR động: mã trỏ đến URL ngắn của nhà cung cấp (qr.xx/abc123) chuyển hướng đến đích đến thực sự. Mỗi chuyển hướng được ghi lại với:
- Thời gian quét chính xác.
- IP của người dùng (vị trí gần đúng).
- Loại thiết bị, hệ điều hành, trình duyệt.
- Referer nếu có.
Trong QR động, theo dõi lượt quét không phải là ngẫu nhiên — đó là lý do tồn tại của sản phẩm.
Cách phát hiện công cụ của bạn có theo dõi bạn không (không cần biết code)
Ba phút với bất kỳ trình duyệt hiện đại nào:
- Mở công cụ bạn định dùng.
- Nhấn F12 (hoặc click phải → Inspect) và đến tab Network.
- Nhấn nút record đỏ / giữ tab mở và xóa nó (nút ⌀).
- Điền vào form QR với bất kỳ dữ liệu nào và nhấn "tạo".
- Xem các yêu cầu xuất hiện trong danh sách.
Cần tìm gì:
- Nếu không có yêu cầu mới xuất hiện khi tạo: QR đang được tạo 100% trong trình duyệt của bạn. Phía client. ✅
- Nếu xuất hiện yêu cầu
POSTđến URL của nhà cung cấp ngay khi bạn nhấn tạo, với các trường của bạn (SSID, mật khẩu, v.v.) trong payload: dữ liệu của bạn đang đi đến server. Phía server. ❌ với dữ liệu nhạy cảm - Nếu response là hình ảnh QR (PNG hoặc SVG) được tạo bởi backend: điều đó xác nhận server đang tạo mã.
Cũng kiểm tra xem trang có tải Google Analytics, Meta Pixel hoặc các script tracker khác không (bạn sẽ thấy yêu cầu đến google-analytics.com, googletagmanager.com, connect.facebook.net, v.v.).
Dấu hiệu cảnh báo rõ ràng
Không cần DevTools, một số chỉ số nhanh:
- Họ yêu cầu đăng ký hoặc tài khoản để tạo QR cơ bản.
- Họ có gói "PRO" với theo dõi lượt quét chi tiết: nếu đó là mô hình kinh doanh của họ, theo dõi là trong DNA của sản phẩm.
- QR tải xuống mang URL của họ thay vì của bạn (
qr.xx/abc123thay vìyourdomain.com): đó là QR động, tự động được theo dõi. - Chính sách bảo mật đề cập chia sẻ dữ liệu với bên thứ ba, đối tác marketing hoặc sử dụng quảng cáo.
- Họ không công bố mã nguồn và công cụ miễn phí không có mô hình kinh doanh rõ ràng: ai đó đang trả tiền cho nó, thường bằng dữ liệu của bạn.
Cách xác minh công cụ là phía client
Danh sách kiểm tra nhanh:
- Hoạt động offline: ngắt kết nối WiFi của bạn, tải lại trang và thử tạo. Nếu hoạt động, nó là phía client. Nếu không thể tải hoặc không cho bạn tạo, nó phụ thuộc vào server.
- Không có yêu cầu mạng khi tạo (có thể kiểm chứng với DevTools như trên).
- Không cần tài khoản, không email.
- Mã nguồn có thể kiểm tra (mã nguồn mở hoặc JavaScript không thu nhỏ).
- Đích đến QR chính xác là những gì bạn nhập, không phải URL ngắn của nhà cung cấp.
Nếu tất cả năm điều đúng, công cụ không thể theo dõi bạn hoặc người quét mã.
Tại sao điều này quan trọng nhất với WiFi, vCard và thanh toán
Với URL công khai (website kinh doanh của bạn, PDF công khai), công cụ "thấy" URL của bạn không thêm rủi ro: nó vốn đã công khai.
Nhưng có ba loại QR mà theo dõi là quan trọng:
- WiFi: mật khẩu mạng của bạn. Nếu nó đi đến server của nhà cung cấp, nó nằm ngoài tầm kiểm soát của bạn.
- vCard: điện thoại cá nhân, email, địa chỉ. Dữ liệu cá nhân được bảo vệ theo Nghị định 13/2023/NĐ-CP.
- Thanh toán qua VNPay / MoMo / ZaloPay / Bitcoin: dữ liệu ví, tài khoản ngân hàng. Cấp độ nhạy cảm cao nhất.
Với những trường hợp này, dùng công cụ phía client không phải là hoang tưởng — đó là vệ sinh cơ bản.
Mã nguồn mở so với độc quyền
Một công cụ là mã nguồn mở không tự nó đảm bảo bảo mật cao hơn, nhưng nó cho phép bạn:
- Kiểm tra code và xác minh không có theo dõi ẩn.
- Xác nhận logic phía client mà không cần tin vào lời của nhà cung cấp.
- Tự host nó nếu bạn muốn kiểm soát hoàn toàn.
Công cụ độc quyền có thể bảo mật như nhau, nhưng yêu cầu tin tưởng vào những gì nhà cung cấp tuyên bố. Không có code có thể kiểm tra, không có cách xác minh.
Trong thực tế: mã nguồn mở + không tài khoản + không mạng khi tạo = tiêu chuẩn bảo mật hợp lý cao nhất.
Kết luận
Hầu hết các công cụ tạo QR trực tuyến xử lý dữ liệu của bạn trên server của họ. Điều đó ổn với URL công khai, nhưng rủi ro với WiFi, vCard hoặc thanh toán. Để kiểm tra trong 30 giây, mở DevTools, đến Network, và kiểm tra xem trình duyệt của bạn có gửi bất kỳ yêu cầu nào khi bạn tạo QR không. Nếu không, nó là phía client và nội dung của bạn không bao giờ rời thiết bị của bạn.
QRcito tạo mọi QR hoàn toàn trong trình duyệt của bạn, không có tài khoản, không có mạng khi tạo và không có tracker bên thứ ba. Bạn có thể xác minh bằng cách mở DevTools trước khi nhấn tạo.
Câu hỏi thường gặp
"Phía client" nghĩa là gì trong công cụ tạo QR? Rằng JavaScript tạo hình ảnh QR chạy bên trong trình duyệt của bạn. Dữ liệu bạn nhập không bao giờ được gửi đến bất kỳ server nào. Việc tạo là cục bộ, tức thì và có khả năng offline.
Công cụ tạo QR có hợp pháp để lưu trữ dữ liệu của tôi không? Nếu chính sách bảo mật của họ khai báo và bạn chấp nhận, có. Vấn đề là nhiều chính sách mơ hồ hoặc không bao phủ dữ liệu cụ thể về QR. Khi nghi ngờ, hãy giả sử họ lưu trữ gì đó và chọn công cụ khác nếu dữ liệu của bạn nhạy cảm.
QR tĩnh có thể theo dõi ai quét nó không? Không. QR tĩnh không đi qua bất kỳ server nào: thông tin đi trực tiếp từ mã đến thiết bị đọc. Chỉ QR động (với URL chuyển hướng trung gian) mới có thể theo dõi lượt quét.
Nghị định 13/2023/NĐ-CP áp dụng thế nào với công cụ tạo QR? Nếu bạn nhập dữ liệu cá nhân (tên, email, điện thoại trong vCard) vào công cụ phía server, nhà cung cấp chịu trách nhiệm xử lý theo quy định bảo vệ dữ liệu cá nhân. Để giảm thiểu rủi ro và nghĩa vụ, con đường đơn giản là dùng công cụ phía client.
Tại sao QRcito có thể cung cấp mọi thứ miễn phí mà không có theo dõi? Vì tạo mã QR là quá trình nhẹ không cần cơ sở hạ tầng đắt tiền. Là phía client nghĩa là không có chi phí server mỗi người dùng; không có theo dõi hay tài khoản, không có sản phẩm để bán. Trang web chạy với chi phí rất thấp, không cần kiếm tiền từ người dùng.