Сегодня с утра Рунет ошарашила новость о том, что на российских сервисах будет запрещена авторизация с помощью иностранных сервисов авторизации. Выглядит, конечно, полным бредом - мы хотим запретить иностранным клиентам пользоваться российскими сервисами, ограничивая их российским рынком или вынуждая открывать иностранные представительства?
Но у меня есть полезная привычка - всегда читать первоисточники. Я решил почитать законопроект, о котором идет речь.
Там написано буквально следующее:
Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
То есть, во-первых, речь идет только о тех пользователях, которые находятся в России. Об остальных речи не идет.
Во-вторых, во всем законопроекте нет запрета пользователям, находящимся в России, регистрироваться с помощью иностранных средств авторизации. Во всем тексте законопроекта вообще нет слов "запретить" или "ограничить".
То есть, переводя с юридического языка на русский, законопроект звучит так:
Если пользователь находится в России, у него должна быть возможность авторизоваться с помощью российских средств авторизации.
Все.
Безусловно, есть риски того, что законопроект изменят и в него действительно добавят какие-то по-настоящему идиотские и вредные ограничения. Но на данный момент, законопроект нигде не запрещает использовать иностранные средства авторизации - как для России, так и для остального мира.
Комментарии (146)
csharpreader
25.07.2023 06:07+81Вот бы сейчас в 23-м году всерьёз обсуждать, что есть и чего нет в законах. Правовое поле давно скомкано и выброшено в корзину. Интерпретироваться всё будет «как надо». Для этого практически умышленно оставляется двоякость толкования, а порой и явная неопределённость.
anone1947389
25.07.2023 06:07+41Человек живет в параллельной реальности, где в рф есть законы и они исполняются. Еще и конституция наверное не туалетная бумага, да и войны никакой нет. Блаженный, бывает.
Nickel3000
25.07.2023 06:07+22Не блаженный, а заинтересованный. Дмитрий Лейкин — Русский эксперт (ruxpert.ru)
freehabr Автор
25.07.2023 06:07-10Я как раз против введения бессмысленных ограничений. Просто с утра были сообщения, что все включая иностранцев должны будут иметь российскую почту. Я посмотрел закон, оказалось не так. Если они хотят чтобы из России можно было только с российской почты, мне это тоже не нравится. На мой взгляд, это должно быть возможностью, а не обязанностью.
iAndrey
25.07.2023 06:07+21Во-первых, даже когда идёт речь только о находящихся в России пользователях, возникают вопросы. Если сферический иностранец, зарегистрировавшийся на сайте сидя у себя Инострандии, приехал туристом в РФ. Блокировать ему доступ? Он же в РФ находится сейчас, а почта у него привязана не российская.
Во-вторых, в законе не сказано "в том числе и одним из", там закрытый список. Т.е. "пользователей из России авторизовать либо таким, либо сяким образом, а других пользователей — как хочешь".
В-третьих, прежде чем "переводить с юридического на русский" для масс, стоит хотя бы проконсультироваться у юриста. Уберите дезинформацию.
Earthsea
25.07.2023 06:07+8Если сферический иностранец, зарегистрировавшийся на сайте сидя у себя Инострандии, приехал туристом в РФ. Блокировать ему доступ?
Для интуристов всегда можно сделать отдельный доступ, без всяких ограничений. Заодно можно им запретить выходить за пределы установленного маршрута, разговаривать с непроверенными и недопущенными гражданами, вести фото и видеосъемку без разрешения сопровождающего.
iAndrey
25.07.2023 06:07-2Вы знаете способ отличить интуриста от релоканта?
Предлагаете разрешить анонимный постинг на форумах, а ещё лучше с возможностью написать юзернейм от имени которого пост опубликуется? Либо бесплатно раздавать услуги за которые пользователь обычно платит? Или, условно, "Яндекс.музыка недоступна для вас, пока вы не покинете территорию РФ" а что делать с абонплатой за сервис в этот период?
Kanut
25.07.2023 06:07Вы знаете способ отличить интуриста от релоканта?
Например тип визы. Или там необходимость регистрации в том или ином виде.
iAndrey
25.07.2023 06:07Предлагаете ещё и визу\прописку у пользователя требовать?
Kanut
25.07.2023 06:07Я нет. Но на мой взгляд "интернет по паспорту" совсем не за горами. Причём не только в РФ...
K0styan
25.07.2023 06:07Технически - легко, организационно чуть сложнее. Добавить во внутренние паспорта NFC чип (в "длинных" загранах уже есть), обязать логиниться прикладыванием паспорта к телефону.
Earthsea
25.07.2023 06:07+2Предлагаете разрешить анонимный постинг на форумах, а ещё лучше с возможностью написать юзернейм от имени которого пост опубликуется? Либо бесплатно раздавать услуги за которые пользователь обычно платит? Или, условно, "Яндекс.музыка недоступна для вас, пока вы не покинете территорию РФ" а что делать с абонплатой за сервис в этот период?
Что я только что прочитал?
Начнем с того, что я вообще ничего не предлагаю. Так, мысли вслух и немного черного юмора, короче прогноз на будущее.
Во-вторых, все намного проще. Для граждан чебурнет без доступа к всемирным ресурсам и недоступный для любых иностранцев, хоть они за пределами страны, хоть приехали. Для интуристов обычный всемирный интернет, но без доступа к чебурнету. И не с личного устройства, а с выданного казенного сертифицированного (с кейлоггерами, MITM-сертификатом и т.д.) Ну а иностранные релоканты вообще запрещены, потому что у них больше возможностей для шпионажа, чем у туриста. К каждому туристу приставлен отдельный сопровождающий. Если например семья туристов из трех человек - значит три сопровождающих.
vikarti
25.07.2023 06:07Пароль для доступа к
BIOSUEFI есть только в получать в сервисной службеMicrosoftАстраЛинукс а отладчики — все номерные?Earthsea
25.07.2023 06:07+1А зачем интуристу компьютер или ноутбук? Выдать ему смартфон и хватит с него. Отечественный, весом граммов 400-600, толщиной сантиметров 5 и без порта передачи данных, вот с такой зарядкой:
Antra
25.07.2023 06:07+4А чего только об интуристах речь?
Депутат новосибирского Заксобрания предложил забрать у населения личные компьютеры - KP.RU
— Интернет — оружие массового информационно-психологического поражения, — написал депутат. — Необходимо решительно вывести вычислительные мощности из общественного оборота. ЭВМ должны применяться по назначению — в науке, промышленном производстве, транспортных системах, военных штабах и т.п.
iAndrey
25.07.2023 06:07семья туристов из трех человек - значит три сопровождающих
Вы таки видели новый план по борьбе с безработицей?
DennisP
25.07.2023 06:07Ну как минимум, таких иностранцев ожидает разлогинивание с иностранных провайдеров oauth. Хотя я на 100% уверен, что никто не будет как-то отделять иностранцев и выпилят остатки иностранной авторизации со своих сервисов.
DennisP
25.07.2023 06:07+4Интересно, почта на своём домене как будет учитываться?
tsklab
25.07.2023 06:07+1Особенно, если российский домен лишь один из множества зеркал.
vikarti
25.07.2023 06:07Ну так при регистрации то вы указываете user@domain.ru даже если для сервера — user@domain.com это тот же почтовый ящик.
K0styan
25.07.2023 06:07+1Это если есть такой российский домен. Вот у меня есть только .me - ну, типа мой, личный (и именно из этих соображений тыщи людей регистрировали сайты/почтовые сервера именно в нём). Но одновременно это национальный домен Черногории)
Tarakanator
25.07.2023 06:07соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона
Ваша почта требованиям этой статьи удвлетворяет?
https://www.consultant.ru/document/cons_doc_LAW_61798/0e9ec16b786dcbdaaa7f44abfc4a15e601d5be22/
den_rad
25.07.2023 06:07+31Когда планировали блокировать сайты, там тоже подавалось все под соусом борьбы с педофилией. Никто не писал, что будут блокировать сайты независимых СМИ и оппозиционных политиков. Лиха беда начало.
Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет? А если почта на домене COM и размещается на Yandex?
0mogol0
25.07.2023 06:07+7Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет?
думаю это идея для следующего закона, когда почта на домене ru должна будет размещаться только на российских серверах, чтобы обеспечить свою работоспособность при "изоляции рунета".
vikarti
25.07.2023 06:07Та почта у меня привязана к хабру (для многих других сервисов — сделано ):
- на поддомене моего домена в .com
- mx'ы указывают на cloud-версию SimpleLogin (при большом желании — я могу поднять свой инстанс там же где остальные части живут)
- SimpleLogin пересылает почту на один из N указанных mx'ов (на Proxmox Mail Gateway, не все из них находятся в России-согласно-geoIP-базам), для некоторых адресов(для хабра так не сделано но делается одной галочкой в админке) — еще и на другой сервер M
- mx'ы пересылают почту на сервер с Mailcow (откуда почта и читается)
- сервер M преобразует почту в другой вид и пересылает на M1 (home server Matrix, удобно мне кое какие письма получать как сообщение в чат)
- root-доступ к соответствующим серверам, админ-доступ к PMG/mailcow — у меня. к M у меня доступ только админа домена, к M1 рут доступ не только у меня, а еще и сотрудников конторы которая M1 поддерживает.
- DNS домена — на cloudflare и включено закрытие whois
Что именно из этого должно быть физически в России/иметь Российские IP-адреса/как в данном случае определяется владелец?
Xeldos
25.07.2023 06:07+3Что именно из этого должно быть физически в России
Всё?
vikarti
25.07.2023 06:07Как предпологаеться, проверять например физическое расположение сервера с
- Mailcow?(входящую почту он принимает только с Proxmox'ов, исходящую отправляет тоже через них, причем еще и через разные в зависимости от домена).
- M/M1?(они в этой схеме исходящую почту не отправляют и напрямую — не принимают а только от SimpleLogin'а)
Мое гражданство и локация нигде на этих серверах — не указаны (контора которая M1 поддерживает — знает его только с моих слов, и только косвенно и только потому что всплыл вопрос как им платить(там замудрено все) и мной был назван как наиболее удобный вариант — Российская карта, чуть менее удобный — НЕроссийская карта)
Кстати, оба dns-сервера домена судя по трейсроуту — в России физически(и даже не в Москве а поближе ко мне)… если трейсроут запускать с Российского интернета, вот только там anycast а нод у Cloudflare много (в том числе в России) — это как считать — Россия? Или нет?
m_chrom
25.07.2023 06:07+14вы почему-то исходите из того, что написанные в законе слова будут использоваться судами как обязательные формальные правила принятия решений. И, соответственно, считаете, что в случае, если возникнет такая необходимость, суд действительно будет смотреть какие-то там трейсроуты и документы от хостера, разбираться в какой же все-таки стране у вас почта и руками разводить, мол какая интересная юридическая коллизия выходит, как же нам в этой ситуации решение-то принять.
Опыт же подсказывает, что все разбирательство будет плясать от того, какое решение нужно для правильного вердикта. Надо признать российским пользователем - будет российской почтой. Надо заблокировать доступ - значит иностранная. А трейсроуты эти ваши и справки можете... ну, сами знаетеvikarti
25.07.2023 06:07Так разбиратся придется не им.
Вот есть условный хабр. Как российский сайт (я в курсе про Кипр но допустим).
Как администрация может выполнить закон, так чтобы к ним не было претензий?m_chrom
25.07.2023 06:07а, в этом смысле. Тогда да, что делать российским юрлицам в этой ситуации непонятно.
vikarti
25.07.2023 06:07Не только ЮРлицам. В тексте ж сказано про российские сайты. Не сайты российских юрлиц. Физикам как быть? Ну если в рамках закона оставаться.
Ну и с другой стороны — как быть Российским юрлицам если допустим абстрактный-гражданин-россии-на-территории-россии на следующий день после вступления этого в силу начнет требовать дать ему логиниться через госуслуги потому что это считает (на основании этого закона) что имет такое право?(при этом на госуслугах и телефон и e-mail — не соответствуют тому что есть у сайта, а паспортных данных у них нет). И что им делать? В суд посылать?
freeExec
25.07.2023 06:07+1Неа, ведь в законе "одним из". Т.е. для удовлетворения закона, только одним достаточно.
А сделают просто, либо майл, либо яндекс, остальным до свидания.
vikarti
25.07.2023 06:07Допустим ответ — нету.
Хорошо — сайт говорит что досвидания. И получает требование об удалении персональных данных и аккаунта. И что они тут будет делать? Особенно если реально какие то офлайноые транзакции с ними "в полете".Я понимаю что отговорится можно… но техподдержкам таких сайтов я вот не завидую.
Или еще более интересный вариант — был использован корпоративный e-mail (Российский но на своем сервере) и есть прямая инструкция от начальства использовать именно корпоративный. И в этом случае на отказ сначала будет просьба дать его официально. Сначала.
freeExec
25.07.2023 06:07Грозиться судом конечно можно, но по факту тебе придётся туда и прям обратиться.
Ну вот смотри, какие ещё персональные данные удалить, если ты не смог зарегистрироваться вовсе. И вообще ты такое должен писать заказным письмом с паспортными данными, и потом в чём проблема грохнуть твою учётку?
А какой ещё официальный ответ, тебе либо сайт ошибку выдаст, что мыло не подходит, либо ты никогда код подтверждения не получишь.
vikarti
25.07.2023 06:07+1Я скорее про случаи когда уже пользователь зарегистрирован.
Предполагая что из-за этого закона заставят менять.А в чем проблема грохнуть — ну попробуйте например грохнуть учетку WB когда у вас доставка не завершена (и еще и с пост-оплатой). При этом заказное — не то что бы проблема — у почты россии есть сервис по электронной отправке и с трекингом и для суда заявлено что подходит.
Пример про официальный ответ — для случая когда есть аккаунт по работе на каком то сервисе(условная фигма или условный selectel), и хочет замену e-mail. Допустим не получу но каналы для доступа к техподдержке — есть (в крайнем случае да — письмо заказное). Пользователь сам менять не будет потому что запрещено (аккаунт для работы) и либо ему дадут официальный ответ либо придется его начальству давать.
Кстати возможен еще и другой вариант — у меня как и как ИП и как физлица с некоторыми конторами российскими (у которых вполне себе есть сайты) есть договора подписанные. И там прямо указано какие e-mail'ы для общения могут быть использованы с обоих сторон(а вот страну где сервер — там ни слова), поменять это — надо подписывать допник к договору и тут станет вопрос кому это больше надо и вполне может оказаться что это не мне больше надо.
И что еще хуже — не до конца понятно — закон этот всех этих случаев касается или как?
Old_paranoid
25.07.2023 06:07+1Как российский сайт
Например, при регистрации спрашивать, по букве закона "Находитесь ли вы не в России?" - и два варианта ответов:
"Да, не в России"
"Нет, не в России"
Xeldos
25.07.2023 06:07+1Как предполагается проверять
Не проверять, а доказывать. И доказывать будет не товарищ майор.
DikSoft
25.07.2023 06:07+3Не проверять, а доказывать
Никто ничего проверять не будет. Если при включении Чебурнета почта выжила, значит была в России. Готовят к изоляции сегмент рунета, похоже.
Antra
25.07.2023 06:07Достаточно лишь привести вашу систему эл. почты в соответствие с требованием п.4:
с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо."
А вообще, конечно, вопрос, что будут понимать под "иной информационной системой". Какой-нибудь OAUTH через буржуйский сервис - понятно что не прокатит.
А вот "собственная система сайта", которая хранит ваш профиль и пароль у себя, а ваш email использует только для воостановления пароля - может какое-то время еще и поработает.
Хотя соответствует ли плагин авторизации вордпресса "требованиям о защите информации" даже при использовании мейлрушечки - большой вопрос.
0mogol0
25.07.2023 06:07+1Ну я не депутат (к счастью), но пытаясь размышлять в русле их логики я бы предположил, что российским будет назван сервис, "который продолжит функционировать при изоляции рунета".
А дальше - сделают какую-нибудь IT-контору, которая будет проверять, выдавать сертификаты о соответствии и вносить информацию в очередной реестр "отечественных почтовых служб". А дальше для регистрации можно будет использовать (только) почтовые службы из реестра.
AWE64
25.07.2023 06:07+1Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет? А если почта на домене COM и размещается на Yandex?
вы тут своими этими не это. поставят к стенке и всего делов
0xd34df00d
25.07.2023 06:07+5Когда планировали блокировать сайты, там тоже подавалось все под соусом борьбы с педофилией.
Забавно, что когда все это только начиналось, то прогнозы, что оно приведет к подобным исходам, обзывались туповатыми теориями заговора даже местной интеллектуальной элитой.
vikarti
25.07.2023 06:07+2Не всеми.
Кое кто вполне себе помнил существенно более раннюю историю в других страна которая к защите копирайта свелась.
Dolios
25.07.2023 06:07+1Я ровно противоположное помню. И на смс всё завязывать и биометрию с анализами сдавать далеко не все хотели.
Tarakanator
25.07.2023 06:07какая разница иностранная или нет. Она статье 16 удвлетворяет? если нет, то не подходит для аутентификации.
https://www.consultant.ru/document/cons_doc_LAW_61798/0e9ec16b786dcbdaaa7f44abfc4a15e601d5be22/
0mogol0
25.07.2023 06:07+13Что-то мне подсказывает, что если поправки действительно собирутся принимать, то их обязательно скорректируют, чтобы на российских сайтах регистрировались только с российской э-почтой. Это укладывается в логику, что когда (если) будет отрублен внешний интернет, пользователи российских сайтов должны сохранить возможность продолжать логиниться на эти сайты (в том числе используя имейл для 2ФА).
Опять же можно вспомнить многострадальный закон о повышении призывного возраста, когда изначально обещали что интервал просто сдвинут на три года вверх (с 18..27 на 21..30), а в процессе обсуждения решили, что гораздо удобнее будет его просто расширить до 18..30.
Alohahwi
25.07.2023 06:07+12А главное причина, по просьбам
трудящихсяпризывников. Как будто их кто-то спрашивает.Кстати заметили, на сколько актуальны и злободневны вдруг стали советские анекдоты.
Serge78rus
25.07.2023 06:07+15Они и не теряли актуальности, за исключением короткого периода "ужасных 90-х".
Jianke
25.07.2023 06:07-13"ужасных 90-х"
У вас никто из знакомых в "святые 90е" не был ни убит, ни пропал в без вести?
Antra
25.07.2023 06:07+6У меня нет. Спившиеся и умершие от "закодировался - выпил" - такие были. Но не криминал.
И сам только экономические трудности помню. Про криминал знал, конечно, но живьем не сталкивался.
Jianke
25.07.2023 06:07У меня знакомого, создавшего свой успешный бизнес после окончания ВУЗа, в конце 90х убили. :-(
Antra
25.07.2023 06:07+5Я помню, насколько был в шоке в 1999 от убийства директора VIST. Понятно,что в строительстве или торговле металлом это было нередким. Но в компьютерном бизнесе это едва ли не единственый такой случай.
Видимо, я просто не понимаю, к чему был исходный вопрос. Если к сравнению по числу насильственных смертей 1999 года (последнего года "святых 90-х", как вы пишете) с последним годом времени, в котором мы живем, мне кажется, сравнение будет не в пользу сейчас.
А в посте, спровоцировавшем ваш вопрос, вообще речь шла об анекдотах, а не о смертях...
Jianke
25.07.2023 06:07Если к сравнению по числу насильственных смертей 1999 года (последнего года "святых 90-х", как вы пишете) с последним годом времени, в котором мы живем, мне кажется, сравнение будет не в пользу сейчас.
Я не в России, и никогда России не жил.
У нас сейчас можно всю ночь гулять по городу без необходимости носить нож как в 90е.
Antra
25.07.2023 06:07+3Никогда нож не носил. В т.ч. и в 90-е даже в мыслях не было.
Про перцовый баллончик сейчас есть, но пока не дозрел.
Kanut
25.07.2023 06:07В 90-е ходил с пружиной от двери в подъезд. И даже пришлось использовать...
Antra
25.07.2023 06:07Это огромная разница. Пружина, кусок водопроводной трубы - норм. Даже сейчас отмазаться есть шанс, если, конечно, на трубе ручку изолентой не изобразить.
Kanut
25.07.2023 06:07С точки зрения "отмазаться" да. С точки зрения "эффективности" , то лично я не уверен что смог бы ударить человека ножом.
То есть я носил пружину потому что в моём случае от неё было больше пользы.
Antra
25.07.2023 06:07О чем и речь. Нож - оружие нападения, а не защиты.
С ним ходить - это либо понты (модно), либо и район должен быть ну очень криминогенным, и склад характера соответствующий.
Serge78rus
25.07.2023 06:07+3Убитые среди друзей и знакомых были и в 90-е, и до, в "счастливые советские", и после, в "жирные 0-е". Специально статистику не вел, но на первый взгляд особых всплесков именно в моем окружении не было. А вот в зависимости от возраста изменение причин смерти гораздо более заметно, но причина здесь вовсе не в исторической эпохе, а в изменении с возрастом увлечений, образа жизни и состояния здоровья.
Кстати, большинство в упомянутой Вами категории "пропавшие без вести" у меня приходится не на 90-е, а на начало 0-х, прямо аномалия какая-то.
rogoz
25.07.2023 06:07+7Потому что пик смертности гдет в 2003Забавляет, что в диапазоне примерно 2001-2006 смертность была больше, чем когда-либо в 90-е, а всё вспоминают 90-е.
it-navy
25.07.2023 06:07-34Все оказалось опять не так, как трактует отечественная либеральная пресса...
vikarti
25.07.2023 06:07+11Может просто писать внятно законпроекты?
Так чтобы понять их неправильно (особенно с учетом уже имеющегося опыта с блокировкой, да и с ТСПУ) — было невозможно?Serge78rus
25.07.2023 06:07+8Если писать внятно, то слишком часто придется переписывать. А так достаточно выпустить очередную "правильную" трактовку от ВС.
vikarti
25.07.2023 06:07А после этого — разговоры, а чего это в России даже те кто Родину любят, власть — совсем не обязательно любят а еще больше — откровенно игнорируют законы пока находят способы. :(
K0styan
25.07.2023 06:07+5Ну вот "Ведомости" - которые после смены редколлегии уж точно никак к либеральной прессе не отнесёшь - открытым текстом пишут: запрещено. Даже не "ограничено".
vikarti
25.07.2023 06:07Кстати а можно цитаты как именно "либеральная пресса" трактует. И какая именно?
Потому что одно дело — какое мнение по этому делу имеет например Роскомсвобода (было бы интересно почитать, потому что там будет видимо относительно нормальная юридическая оценка ситуации и последствий, и сравнение с аналогичным опытом других стран) и/или товарища @RationaAnswer(пусть другая область чуть но он если не уверен но посчитает что тема интересная — может найти тех кто сможет рассказать что-то полезное), другое — какое структуры вроде ОВД-Инфо (было бы интересно почитать тоже хотя в технических вопросах они вероятно разбираются хуже а тут — они важны) и совсем третье — что-там-сейчас-сталось-со-штабами-навального-и-около(меня вот их мнение по этому вопросу — особо не интересует, политическая позиция известна, ничего нового по сравнение с предыдущими двумя пунктами — я не ожидаю)
Antra
25.07.2023 06:07+3То есть, во-первых, речь идет только о тех пользователях, которые находятся в России. Об остальных речи не идет.
Если уж вы внимательно все прочитали, разобрались и взялись переводить с юридического на человеческий, можете прямо с первого пункта начать?
Что значит "пользователь находится в России"? Если физически на территории, то как это должен определить владелец сайта? Не по IP же :)
Речь только о первоначальной регистрации аккаунта? Т.е. условный Озон не дает мне зарегистрировать аккаунт на gmail.com. Но как только я включаю VPN на время регистрации - так пожалуйста. И дальше могу из России спокойно пользовать сайтом с аккаунтом, зарегистрированным на "недружественный" email. Да/Нет?
Lodgig
25.07.2023 06:07судя по тексту он ничего не должен запрещать так же в обязательном порядке должен принять один из способов регистрации без использования внешних сервисов, встречался с сайтами в ру регионе которые могли на майл или яндекс просто не отправлять код, ошибка вылетала, и среди способов входа были только фейсбуки твитеры
Antra
25.07.2023 06:07Судя по какому тексту? Данного поста?
В законопроекте есть п.4 "с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо."
Думаете, это пункт разрешает регистрацию на gmail, как системы "соответствующей требованиям о защите информации"? Если нет, то какой тогда пункт разрешает?
Lodgig
25.07.2023 06:07"владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо " а при чем тут почта если это требование к российским провайдерам такого типа услуг, хранить данные в соответствии закона, и тогда его сервис сможет считаться возможным для указания как исполняющим этот закон
Antra
25.07.2023 06:07+1Вы "владельцем которой" относите к чему? Не к владению системой авторизации, случаем?
Я фразу "... и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является" читаю как "владельцем информации".
Т.е. да, владелец сайта обязан использовать систему авторизации, достаточно хорошо защищающей клиентов - граждан РФ (и юр лиц...). И насколько допустимо задействование буржуйских сервсиов [электронной почты] в цепочке хранения и восстановления доступов к защищаемой информации - большой вопрос.
vikarti
25.07.2023 06:07-2Кстати про "В России".
Внимание вопрос в студию:
Если по GeoIP-базам пользователь находится на Украине, но сам пользователь говорит что он в России, на референдуме голосовал за, при этом его провайдер не может поправить GeoIP-базы (либо не может поправить все и пользователь по разным базам — в разных странах) то как тут быть?
А если тот же самый пользователь, находится там же но хочет чтобы его НЕ считали пользователем из России но детектится как из России- мол у меня паспорт Украины, паспорт РФ НЕ получался, погранконтроль не проходил, на референдуме голосовал против?
vahmurka
25.07.2023 06:07+8задача всех законов в РФ (наверно во все времена) предоставить свободу "творчества" для судебных органов, чтобы какое бы решение они ни вынесли это всегда оказалось "по закону"…
ну а конкретно в этом случае, что бы они там ни написали, результат будет ровно тот, который в шок-заголовках…
в самом "мягком" варианте пропишут "запрет" только для новых юзеров, а остальных "вынудят" перерегистрироваться в РФ акк, после того как инет отрубят ))
sardarbinyan
25.07.2023 06:07+12Напрасно вы, автор, недооцениваете Горелкина и Ко. Обязанность законом определена вполне однозначно.
Как бы витиевато не писали подлецы свои законы, мы прекрасно понимаем, что задача этого закона - деанонимизировать всех в Рунете и получить доступ к переписке.
Думаю, в самой ближайшей итерации после принятия этого драфта появятся и санкции за неисполнение закона в виде блокировок и штрафов. Вот тогда и начнется суета, в результате которой платформы будут искать способы как реализовать закон (а это получится лишь при еще большей слежки за пользователями), а пользователям придется либо уступить властям, отказавшись от своего права на приватность (перейти с защищенного Protonmail на ОРИ-реестрового Мэйл.ру), либо навсегда потерять доступ к своим аккаунтам.
Подробней про требования закона написал тут
AuroraBorealis
25.07.2023 06:07+1Как конкретно этот закон ведет к деанонимизации и тем более к доступу (кого?) к переписке?
Antra
25.07.2023 06:07+5Как конкретно этот закон ведет к деанонимизации
В соответствии с законопроектом авторизоваться на сайтах можно будет только разрешенными методами. Зарегистрированная SIM карта, ЕСИА, биометрия и "иная система, соответствующая ФЗ". Первые 3 пункта - очевидно обеспечивают деанонимизацию из коробки. Последний отсекает возможность регистрации просто по почте, не обеспечивающей возможность вас деанонимизировать.
AuroraBorealis
25.07.2023 06:07Я не про это, хотя тоже момент спорный - те же SIM-карты без паспорта.
Я про ситуацию, когда Я регистрируюсь на очередном ozozon.ru. Допустим, я ввожу туда свой номер телефона: как при этом владелец ozozon.ru меня деанонимизирует? Отношения между мной и сайтом все равно анонимны.
При этом на настоящий ozon.ru вы и так отдадите свои данные для доставки, там анонимность только вредит. И на госуслугах тоже.
Antra
25.07.2023 06:07+1Так речь о деанонимизации не озозоном, а об облегчении работы (практически в реальном времени) соответствующих служб.
Вот сейчас меня по аккаунту на Хабре найти можно, но надо напрячься, поработать. А с обязательным номером телефона в профиле (пусть и скрытом от других пользователей) - секунды.
"SIM-карты без паспорта" - корпоративные симки уже не просто так, а компания должна сообщить, каким конкретно номером кто из сотрудников пользуется. Так что уже сейчас это временное решение. Брать симку, чтобы зарегистрироваться и написать пару гадких комментов - перебор. А долго (годы) "симки от метро" редко живут. В общем, над этим тоже работают :)
Отдельный вопрос про адрес доставки. (профессиональная деформация личности придумать "опасный" кейс). Допустим, я хочу вам сделать гадость и знаю ваш адрес. Никто не мешает мне в условном озоне сделать заказ из под своего аккаунта на ваш адрес и имя (я так заказывал на тестя в другом городе). И вот уже к вам вместо заказанного дрона, устройства для сброса грузов и разных химкатов приезжает не только курьер. А реального заказчика, зарегистрированного на буржуйскую почту, найти - придется потрудиться.
vladqa
25.07.2023 06:07+1Владелец не деанонимизирует, а компетентные органы в случае их интереса к вам - да.
aborouhin
25.07.2023 06:07+3Вопрос, означает ли "обязан осуществлять с использованием одного из способов" запрет на использование других способов, на самом деле, неоднозначный. Как всегда, наши законодатели не умеют в чёткие формулировки. Но предположим пессимистичный вариант - что означает.
Но при чём тут электронная почта вообще? Никакая электронная почта сама по себе не является "информационной системой, проводящей авторизацию пользователя"! При авторизации по логину и паролю адрес эл. почты - просто разновидность логина (каковым может быть и просто имя пользователя и т.п.) и/или способ коммуникации с пользователем. А вот всякие SSO и прочие входы через соцсети - это те самые информационные системы, которые имеются в виду.
То, что какой-то депутат приплёл сюда эл. почту - ну так что, кто-то ожидал, что депутаты правда разбираются в том, что сами принимают?..
Итого получается, что:
- авторизация через вход в ВК, ОК, Яндекс.ID, Сбер.ID - можно, через Azure AD, Okta, Facebook и прочий Google - нельзя;
- авторизация через логин (в т.ч. адрес эл. почты) и пароль - можно, если подсистема авторизации российская (в т.ч. внутренняя, наша собственная), что там выступает логином и куда мы высылаем подтверждения / уведомления пользователю - к вопросу не относится.
Кстати, это всё ещё и на программы для ЭВМ распространяется, т.е. на чистый оффлайн.
Если очень хочется вход через иностранные SSO / соцсети сохранить - оформляем сайт / программу на иностранное юр. лицо (если к этому нет иных препятствий), на них эти требования не распространяются, даже если они работают с российскими пользователями.
Как-то так получается, исходя из текущего текста и пока отсутствующей подзаконной нормативки.P.S. Вообще ещё очевидно, что речь вообще не только про авторизацию, а в первую очередь про аутентификацию, но уж понимания таких нюансов от законодателя ожидать было бы тем более странно.
Antra
25.07.2023 06:07+4Вопрос, означает ли "обязан осуществлять с использованием одного из способов" запрет на использование других способов, на самом деле, неоднозначный.
А в чем тут неоднозначность?
Было бы написано "обязан предоставлять возможность осуществить авторизацию..." - это можно было бы трактовать как обязанность удовлетворить хотелки желающих авторизоваться через ЕСИА в дополнение к существующим методам. Выбор конкретного способа авторизации лежал бы на пользователе.
Но в текущей формулировке он обязан именно осуществить авторизацию одним из способов из приведенного списка. Одним из списка, никаким другим. Есть упоминание "иной", но тоже с жесткими ограничениями. Не представляю, как можно доказать, что какие-то еще способы тоже попадают под такую формулировку.
- авторизация через логин (в т.ч. адрес эл. почты) и пароль - можно, если подсистема авторизации российская (в т.ч. внутренняя, наша собственная), что там выступает логином и куда мы высылаем подтверждения / уведомления пользователю - к вопросу не относится.
Как это не относится? П.4 гласит, что система должна соответствовать требованиям о защите информации, установленным статьей 16...
Думаете система, восстанавливающая пароль (доступ к защищаемой информации гражданина РФ) путем отправки кода непойми куда (тем более зарубеж) может считаться соответствующей таким требованиям? При первом же инциденте владелец сайта огребет по полной. И во избежание такого будет позволять регистрацию только с разрешенных почтовиков.
Хотя да, в законе явно писать "только с утвержденных мейлрушечек" не требуется. Владельцы сайтов это сделают сами, добровольно и с песней, по просьбам трудящихся.
aborouhin
25.07.2023 06:07А в чем тут неоднозначность?
В том, что подобные формулировки сплошь и рядом используются и без ограничительного смысла. Скажем, если где-то "должна быть указана следующая информация: ..." - это не значит, что только перечисленной далее информацией всё указанное и должно ограничиться. Оговорку "в том числе" часто опускают. Но, повторюсь, здесь я со скидкой на наше правоприменение принимаю пессимистичную трактовку, будем считать, что на слово "исключительно" букв пожалели, но таки имели его в виду.
Думаете система, восстанавливающая пароль (доступ к защищаемой информации гражданина РФ) путем отправки кода непойми куда (тем более зарубеж) может считаться соответствующей таким требованиям?
Думаю, что да. А каким конкретно требованиям ст. 16 она противоречит? Там насчёт "зарубежа" только про хранение перс. данных.
P.S. Для понимания - я сейчас говорю только про нормативные акты и что в них изменится от принятия обсуждаемого законопроекта. То, что и сейчас можно натянуть сову на глобус и начать привлекать сайтовладельцев к ответственности за всё подряд - я нисколько не сомневаюсь. Требования по локализации и трансграничной передаче ПД одни попробуй буквально соблюсти...
Antra
25.07.2023 06:07Я с вами согласен в пессимизме трактовок :)
Поэтому и не про "каким конкретно требованиям ст. 16 она противоречит", а про "должна соответствовать".
Навскидку
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
База данных почтовых адресов где находится? А ведь с ее использованием.... Значит, использование БД с email, посредством которых осуществляется доступ к защищаемой информации, расположенной не на территории РФ, не соответствует. И владелец сайта, регистрирующий пользователей по зарубженым email, теперь будет нарушитель закона.
aborouhin
25.07.2023 06:07+1Во-первых, с использованием почтовых адресов ничего с ПД не осуществляется. Мы ж не по почте от пользователя его ПД получаем. ПД пользователь заполняет сам на сайте. И мы их, надеюсь, храним в России и передаём за границу только в установленном порядке (с этим, к слову, гораздо бóльшая проблема, но это к нашему законопроекту не относится, это и без него есть).
Во-вторых, наша база данных почтовых адресов находится там же, где и база данных остальной информации о пользователях. Т.е., если мы не делегируем аутентификацию стороннему сервису, - у нас. То, что этот самый почтовый адрес присутствует ещё в базе данных почтового сервера, кучи других сайтов, на которых пользователь его указал, а также написан краской на заборе в недружественной стране :) - это к нам как оператору информационной системы вообще никакого отношения не имеет.Antra
25.07.2023 06:07Я часто ставлю себя на место "противоположной стороны". И на месте обвинителя я бы, в частности, оспорил вашу фразу:
мы не делегируем аутентификацию стороннему сервису,
Как раз существенную часть аутентификации (подтверждение, что к вам стучится конкретный пользователь) вы и делегируете. Авторизация (какие права ему предоставить) - действительно на вас.
И в качестве подтверждения моих слов - владелец зарубежного почтового сервиса запросто может запросить у вас восстановление пароля. И вы "поверите" этому буржую, что к вам стучится именно владелец данного email - он же ваш пользователь с таким-то идентификатором.
Так что база email зарубежом - это не просто копия, а существенная часть вашего процесса аутентификации.
aborouhin
25.07.2023 06:07+1Всё-таки аутентификация и восстановление пароля - это разные вещи.
В базовом сценарии мы аутентификацию проводим у себя, ни с какими сторонними сервисами не взаимодействуя. Восстановление пароля по эл. почте - вообще функционал необязательный. Но даже когда он есть - в процессе восстановления мы, опять же, не проводим аутентификацию для входа на сайт, а просто повторно получаем у пользователя пароль, с помощью которого он потом заново входит в сервис.
Вот помнится, изначально в Notion можно было только по одноразовому паролю, присланному по эл. почте, войти, а создать свой постоянный пароль для сервиса нельзя было - вот это ещё куда ни шло.
Понятно, что истолковать при желании можно как угодно. И есть шанс, что именно так и истолкуют. Но в целом по тексту законопроекта не похоже, чтобы вот это всё намеревались иметь в виду. Уж больно замысловатую цепочку рассуждений приходится строить. Да и, как тут уже многие отметили, принадлежность почтового сервера российскому или не российскому лицу - факт, который стороннему лицу вообще часто нереально проверить, а в автоматическом режиме - так и вообще никак невозможно.
Antra
25.07.2023 06:07Понятно, что истолковать при желании можно как угодно. И есть шанс, что именно так и истолкуют.
Именно так.
принадлежность почтового сервера российскому или не российскому лицу - факт, который стороннему лицу вообще часто нереально проверить, а в автоматическом режиме - так и вообще никак невозможно.
Однако если домен .ru - очевидна нацеленность на Российских пользователей. Соответственно "публичный" сервер, скорее всего, хостится в РФ (дабы не нарушать "хранение на территории РФ". Если же это "личный сервер на своем домене" - пофиг, где он хостится. По домену моментально узнается его владелец (для регистрации в .ru необходим паспорт), а именно это и нужно .
Так что на месте владельца сайта я бы решил, что ограничение регистрации исключительно с почтовых ящиков в зоне .ru существенно снизит мои риски. Даже если это не предписано явным образом.
P.S. Что-то мне надоело быть "адвокатом обвинителя" :)
aborouhin
25.07.2023 06:07Так то, что в тексте привязка не к доменной зоне, а к владельцу информационной системы, как раз и говорит о том, что такой сценарий вряд ли предполагался. Иначе бы так и написали.
А так, во-первых, владелец домена может не быть владельцем сервера на этом домене. Во-вторых, из данных Whois, даже если они открыты, невозможно узнать ни гражданство физика, ни юрисдикцию, а тем более бенефициаров юр. лица. В-третьих, уж тем более невозможно узнать, соблюдают они ст. 16 или нет :)
Т.е. текст законопроекта наталкивает на мысль, что речь всё-таки шла о неких системах, с которыми мы взаимодействуем напрямую и целенаправленно. Если мы прикрутили стороннее SSO - очевидно, что мы могли проверить всю информацию о его владельце, да и наверняка какое-нибудь лицензионное соглашение с оным приняли в процессе. А если мы тупо шлём письма на сторонний сервер - мы о нём ничего достоверно узнать не можем, тогда уж проще считать, что мы вообще регистрацию по любой эл. почте не вправе осуществлять.
P.S. Мне тоже уже перекапывать это надоело :) Больше, чем уже написали, мы точно не придумаем и не узнаем. Дождёмся финальной редакции, подзаконных актов и практики применения. В наших реалиях проблемы можно решать только по мере возникновения, а на дурацкие требования - находить столь же дурацкие способы удовлетворить их :)
Antra
25.07.2023 06:07Отдельно все-таки напишу. Вдруг развеете мою зашореность и успокоите обеспокенность :)
В базовом сценарии мы аутентификацию проводим у себя, ни с какими сторонними сервисами не взаимодействуя. Восстановление пароля по эл. почте - вообще функционал необязательный.
Базовая аутентифкация в данном случае - сверить по своей базе пару email-пароль и понять, что это к вам стучится действительно пользователь с таким-то идентификатором. Верно?
А изначально эта связка имя-пароль как устанавливается? Разве не через отправку некоего кода на указанный email?
Фактически вы доверяете зарубежному почтовому сервису подтвердить, что пользователь, регистрирующийся у вас под ID XXXXX действительно владелец этого email (имеет к нему доступ). И в дальнейшем в качестве идентификатора при аутентификации основываетесь именно на информации, предоставленной буржуйским сервисом.
Кстати, в таком виде с отправкой кода на email регистрация ничем принципиально от "необязательной процедуры восстановления пароля" не отличается.
Если вы просите email, но никак в цепочке регистрации и первоначальной аутентификации его не задействуете (ну просто попросили зачем-то указать, но никак не проверили) - другое дело.
Если отключили восстановление пароля через email - думаю, вы правы. Хоть какой-то шанс появляется объяснить, что идентификатор пользователя в виде строчки xxx@yyy.zzz вовсе не зарубежный email, а просто так выглядит. Но это будет непросто.
aborouhin
25.07.2023 06:07Обеспокоенность я Вашу не успокою, даже не надейтесь :) Если бы наши законы имели хоть какую-то внятную связь с теми процессами реального мира, которые они регулируют... А так по всем этим нюансам мы можем только гадать, как сложится практика применения. Я вот пытаюсь по тексту закона угадать, какие мысли повлекли возникновение именно таких формулировок, и свои предположения изложил выше. Дальше мусолить эту тему уже нет сил, сорри :) Но это ни разу не гарантия от того, что даже если я прав - кто-то не захочет потом применить эти формулировки для совсем других, изначально не предполагавшихся целей.
freeExec
25.07.2023 06:07Ничего зарубежный сервер вам не подтверждает, разве что он принял сообщение.
0x1A4
25.07.2023 06:07habr.com это российский сервис или нет? Запретят ли в нем регистрацию через почту в зоне .com, в случае принятия закона в текущем виде?
Ничего не понятно.vikarti
25.07.2023 06:07+1Пишите письма: support@habr.com
Присылайте резюме и портфолио: job@habr.team
Habr Blockchain Publishing Ltd.
Diagorou 4
Kermia Building, 6th floor
flat/office 601
1097 Nicosia
Cyprus
+357 22675231Разумеется НЕ Российский.
Вот только… могут взять пример с ЕС, там достаточно своебразно сказано например кого касается GDPR (и многие считают что возможности доступа из ЕС к сайту — достаточно чтобы оный сайт должен был выполнять обязанности по GDPR).
Нет, для значительной части аудитории хабра то не проблема…
/ip firewall address-list add address=habr.com comment="habr" list=force-via-vpn и нет проблем
Но… не всей. А для большинства других сайтов где большинство пользователей — из России?Kanut
25.07.2023 06:07+1и многие считают что возможности доступа из ЕС к сайту — достаточно чтобы оный сайт должен был выполнять обязанности по GDPR
Одной возможности доступа однозначно недостаточно. А вот "ориентация на локальный рынок" это уже аргумент. Например если можно выбрать страну ЕС или даже "уникальный" язык страны ЕС.
anzay911
25.07.2023 06:07Как оценить уровень грамотности депутата и его близость к избирателям? Нужно дать ему придумать закон!
aborouhin
25.07.2023 06:07+5Вы же не думаете всерьёз, что депутаты сами придумывают законы, которые они вносят и за которые они потом голосуют? :)
Kanut
25.07.2023 06:07Думаете тут тоже ламантины замешаны? :)
aborouhin
25.07.2023 06:07+1Насчёт ламантинов я видимо что-то пропустил и прошу пояснительную бригаду :)
А если серьёзно - то законопроекты пишут обычно где-то в глубинах заинтересованных ведомств, причём не факт, что самые компетентные в матчасти подразделения оных. При этом автор законопроекта кровно заинтересован как можно меньше общаться со смежниками (которые, возможно, могли бы поправить явные косяки) и пропихнуть свой текст в последний момент, чтобы не утопить его в бесконечных ведомственных согласованиях. После чего в ходе своего жизненного пути последние остатки единого замысла, формальной логики и здравого смысла из текста пропадают в результате точечных и не согласованных ни с изначальным текстом, ни друг с другом, правок, которые вносят другие заинтересованные ведомства.
Потом, если повезёт, весь этот поток сознания, попавший в закон, как-то приводится в соответствие с окружающей действительностью (не факт, что в сторону здравого смысла, но хотя бы в сторону определённости) разъяснениями / практикой профильного органа исп. власти и судебной практикой.
MVS366
25.07.2023 06:07+1Я правильно понимаю, что теперь почти 99.99% сайтов в интернете, где есть регистрация, будут вне закона? И владельцы бложиков на вордпресс и всяких ноунейм форумов должны будут подключать авторизацию через Госуслуги или платить оператору за смс-шлюз?
vikarti
25.07.2023 06:07Как я этот закон понимаю — да, или убеждатся что почта Российская.
При этом насколько я помню — подключение этой авторизации через Госуслуги даже если сайт считает БЕЗ всякого закона и его владелец этого хочет — по прежнему остается бюрократической проблемой в дополнение к техничесой и это — менять не особо хотят (хотя казалось бы — ну прямой же интерес максимально облегчить интеграцию, хотя бы для тех владельцев сайтов у кого есть аккаунт юрлица или хоть физлица на госуслугах).
mp1
25.07.2023 06:07-9Ничего плохого в этом не вижу. На сайтах "рунета" можно и не логиниться. А кому "рунет" прям нравиться - зайдут через госуслуги.
vikarti
25.07.2023 06:07А я — вижу.
Есть сайты в рунете куда логинится с одной стороны надо в некоторых случаях(предпочту не уточнять подробности, сорри)(и даже фио у них есть реальные мои) а с другой стороны — я не хочу им давать ничего кроме той информации что им была мной предоставлена, в том числе потому что отлично знаю как они к сохранности персональных данных относятся (и мне — плевать что у них там где то в пользовательском соглашении написано что они имеют право)mp1
25.07.2023 06:07-1Они и не получат больше чем нужно для авторизации. Я уже много лет из .ru пользуюсь только ЖКУ, налоговой и сайтами банков. Они и так знают телефон, ФИО и адрес. Что потеряют люди авторизовываясь через телефон на сайтах рунета? Свободное общение? В рунете 2023-года? Серьезно? Я правда не понимаю возмущения людей против этого закона. Если вы не доверяете чему-то - не пользуйтесь этим. Если вынужены пользоваться чем-то против воли - подумайте как от этой нужды можно отказаться. Всё происходящее было описанно в "Рунет обреченный." ещё в 2013 году. 10(!) лет назад. Все кто интересовался ситуацией с интернетом не могли не быть понятны тенденции и перспективы за все эти годы. Какой смысл выражать недовольство сейчас?
Antra
25.07.2023 06:07+4Например, я не доверяю мейлрушечке и считаю, что использование этого почтового ящика фактором, повыщающим риск попадания "секретного кода" из этого ящика в руки злоумышленника.
Вообще ни разу не про общение.
vikarti
25.07.2023 06:07Возмущение что рушат дальше связность.
Возмущение что тот же simplelogin ни в каком виде — не использовать (потому что это либо чужой облачный сервер либо свой локальный) а ОЧЕНЬ удобно особенно с учетом того что тариф на утечки — 60 тысяч рублей.Возмущение что (например) boosty и Author.Today/litres начнут требовать почту на mailru/аккаунт госуслуг.
Возмущение что теперь еще и придурь спам-фильтров и особенности реализации smtp mailru надо учитывать (из-за особенностей — например в некоторых случая не пытаются повторно доставить письма а сразу отправителю дают отбивку хотя сервер куда надо доставить — им НЕ дал отбивки)
Возмущение что владельцам сайтов тоже надо это все учитывать причем непонятно как.
mp1
25.07.2023 06:07+3Ну уж извените, стратегия развития регуляции рунета технически не совместима со уходящей "связанностью". За эти 10 лет люди уже сделали выбор между "VPN" и "ВНЖ". Я хорошо помню как люди в комментариях смеялись над первыми блокировками и писали что умеют пользоваться VPN. Ну вот - пользуйтесь.
vikarti
25.07.2023 06:07Если что — у меня в закладках статьи MiraclePtr — как будет надо — буду развертывать по инструкциям, пока что хватает моего обычного VPN :).
Уезжать для меня не вариант, есть к сожалению причины о которых не хочу говорить.
Мои претензии к этому закону — скорее то что из в принципе хорошей идеичто надо дать возможность гражданам России без возможности войти (были ж случаи, тот же FB некоторым сайтам рубил Войти через FB и было неприятно, а в рамках санкций могут и устроить… веселье, возможно — в ответ на чтонибудь) устроили все так что люди ищут (и находят) основания что реализован будет максимально некрасиво.
mp1
25.07.2023 06:07+1Граждане и без этого закона имели возможность заходить на сайты рунета через rambler.ru или @ya.ru. И я сам рамблер активно пользовался - вполне удобно было в 2007. А вот посещать военкоматы через VPN или пользоваться общественным транспортом и домофонами с камерами наблюдения розыска через SSH тунель, как мне кажется - довольно неудобное занятие.
vbifkol
25.07.2023 06:07+3Дык проблемы не для пользователей, а для владельцев сайтов. Вот есть у меня сайт, торгует в том числе в цивилизованные страны, юзеры со всего мира. В принципе, есть английская, немецкая и испанская версии сайтов, но в связи с особенностью продукции, форинеры могут заказывать и с русского. Как мне каждый раз убеждаться что пользователь вне РФ? А главное - нахера?
mp1
25.07.2023 06:07+1По IP адресу, или спрашивая пользователя при регистрации. Смысл разделять уже сейчас - хотя бы для способа оплаты на российские и международные. У ЕС - свои требования, у РФ свои. Бизнес должен их соблюдать.
vikarti
25.07.2023 06:07Да?
Вот допустим есть сайт A.
Регистрация полуручная (после формочки — спросят зачем оно надо… с целью в том числе понять точно ошибок нет?) вполне себе могут узнать и про гражданство… но оплату ру-картами не берут(там вообще способ оплаты очень своебразный). Притом что на сайте до недавнего времени инструкции на русском были.
И есть сайт Б.
Регистрация автоматическая. Язык по интерфейса — русский. Контент на русском (немного — на английском и японском)
Можно купить премиум-аккаунт, способов оплаты много и некоторые из них — специально помечены "только карты РФ" и даже СБП есть при этом раньше было меньше.Кто из них должен требования выполнять?
Ах да, сайт Б официально заблокирован Роскомназдором и одна из частей премиума — более удобные для пользователя средства обхода блокировки.И насколько вероятно что они будут эти требования выполнять? :)
vbifkol
25.07.2023 06:07+2По IP адресу, или спрашивая пользователя при регистрации.
В законе нет требований для пользователей с российским айпи или для пользователей, ответивших что они из РФ - есть для пользователей из РФ. У нас полной информацией кто в РФ а кто нет не владеет даже ФСБ, судя по тому что не могут определиться сколько народа сбежало от могилизации - а тут эта задача вменяется владельцам сайтов.
Способ оплаты, а тем более сама оплата возникают сильно позже регистрации.
mp1
25.07.2023 06:07Появятся подзаконные акты на этот счет. Пока меры принуждения к сайтам не применяются - есть переходный период.
vbifkol
25.07.2023 06:07+3Какой характерный оптимизм для Вашего сочетания кармы и активности.
mp1
25.07.2023 06:07+1А зачем впадать в уныние от того что моё мнение не понравилось некоторым людям? Ну не нравятся им эти обстоятельства и они злятся на тех кто о них пишет. Это не ново. Раз им легче от этих циферок - мне не жалко.
MountainGoat
25.07.2023 06:07А там написано, что при вводе номера телефона, его обязательно нужно проверять?
Tarakanator
25.07.2023 06:07в законопроекте речь про авторизацию, а не регистрацию. Если ты укажешь чужой номер, то тупо не войдёшь т.к. не получишь код для входа.
Dolios
25.07.2023 06:07+1Во-вторых, во всем законопроекте нет запрета пользователям, находящимся в России, регистрироваться с помощью иностранных средств авторизации. Во всем тексте законопроекта вообще нет слов "запретить" или "ограничить".
Я вам не запрещаю ходить в театр в чем угодно, например, в платье, но владелец театра теперь обязан пускать на спектакль только тех, кто в штанах.
Теперь пользователей заставят везде вводить данные своей учетки на госуслугах. Мошенники будут довольны.
ifap
25.07.2023 06:07За давностью лет (законопроект был внесен аж 5 лет назад) все уже позабыли, что он был про "приземление" распространителей информации, а не вот это вот все: в Рунет только по российскому паспорту, паспорту моряка или военному билету. Это я к тому, что обсуждаемая формулировка вносится не в Конституцию, которая закон прямого действия, а в конкретный ФЗ сво своей ограниченной сферой действия. И будет ли она касаться всех сайтов Рунета, где требуется авторизация, или только сайтов, распространяющих информацию - покажет практика... хотя меня и смущает оперативное вытаскивание из нафталина этого кривого законопроекта.
Muzzy0
25.07.2023 06:07То есть, переводя с юридического языка на русский, законопроект звучит так:
Если пользователь находится в России, у него должна быть возможность авторизоваться с помощью российских средств авторизации.
Только у меня вопрос о том, каковы, вообще, смысл и польза этого закона?
Tarakanator
25.07.2023 06:07Деанонимизация.
Muzzy0
25.07.2023 06:07+1Деанонимизация.
Почему? Получается, что в вольном переводе, закон требует предоставить возможность авторизации с помощью российских средств.То есть:
Он требует то, что владельцы сайтов, и так, уже предоставляют. Здесь он ничего не добавляет совсем.
Не запрещает авторизацию не российскими средствами - никак не препятствует "анонимизации".
Tarakanator
25.07.2023 06:07+11)Поменяется. Там не просто условно российская почта.
2)Запрещает. Это уже рассматривалось в комментах. Как аналог если договор требует от вас проводить оплату одним из следующих способов, то вы должны платить только одним из предложенных способов.
3)Там вообще странно. Закон устанавливает требованияк авторизации, а не аутентификации. Я не очень представляю как это должно выглядеть. Нельзя писать посты всем, у кого нет трёх семёрок в номере телефона?
Antra
25.07.2023 06:07Почему вы считаете "не запрещает"?
Ведь в законе написано не должна быть возможность, а владелец сайта обязан произвести авторизацию одним из 4 способов. Все 4 - российские (даже в п. "или иным" уточняется, "удовлетворяющим п.16...".
Допустимость способов 5, 6 и прочих, не подпадающих под одобренные, на мой взгляд, можно увидеть только в очень "вольном переводе" а-ля
"4) или иным, удовлетворяющим... При наличии одного из указанных четырех допускаются любые другие способы"
Tarakanator
25.07.2023 06:07в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов
Предлагаю поменять схему работы с сайтом.
Запретить доступ к информации на сайте, для зарегистрированных пользователей.
Т.е. читать можно только гостям, а прошедшим аутентификацию можно только постить.
Вроде как при такой схеме требования закона соблюдаются. И не возникает необходимости в прохождении аутентификации с помощью российских средств.
Хотя... в законе написано авторизация, а не аутентификация. Как вообще проводить авторизацию с помощью телефонного номера?
Статьи писать могут только те, у кого в номере три семёрки подряд? Или как?
Xeldos
Есть слово "обязан"и закрытый список.
freehabr Автор
Нет слов "обязан только с них", "запрещено с других". Но этот пункт, я согласен, можно толковать двояко.
Vizmaros
Если бы было однозначно понятно, это требование обеспечить возможность или требование ограничить авторизацию указанными способами, обсуждения не шло.
Antra
Как это нет слов "обязан"?
И дальше идет список из трех пунктов а-ля зарегистрированный российски номер телефона и "единая система идентификации". И четвертый пункт хоть и " с использованием иной информационной системы", но явно запрещающей всякие gmail ("соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона").
Этот ваш вывод был бы корректным, если бы в п.4 про "иной" не было жестких ограничений. Тогда да, можно было бы воспринимать как "добавьте к существующим способам еще и российские". Но п.4 явно запрещает всякие OAUTH через gmail. Да и просто через gmail.
На какой пункт законопроекта вы сошлетесь, как на дающий возможность зарегистрироваться на буржуйский email?
Greenback
Главный вопрос теперь как всегда: что делать?
Я лично пошёл регистрировать российский емейл. Но с правильным именем ящика.
Анекдот в тему. Человек пишет заявку в страховую:
-- Застрахерьте меня, пожалуйста.
-- Вы что, нельзя так писать!
-- А как можно?
????
След. этап - наладить форвардинг без участия провайдера почты. Надеюсь, есть готовые решения чтобы самому не возиться
vikarti
Если цель — не вроде как заявленная защита прав граждан а перлюстрация — им хватит — письма то пройдут в открытом виде, ну если отправляющий сервис не умеет (как умеет например Facebook) шифровать почту прямо указанным в настройках pgp-ключом… но вот тем же мейлру и прочим вк можно и объяснить что цензуры нет но шифрованные письма не пересылаются… вот только вполне возможный эффект будет — есть рупочта для спама и принудительных логинов а есть — для общения и если если вам не приходит письмо на рупочту — это ваши проблемы
Antra
gmail может через POP3/IMAP забирать почту, чтобы только один ящик смотреть. Думаю, с мейлрушечки тоже заберет, пока напрочь не отрежут IP.
Отправлять тоже может с соответствующего email (не своего домена), достаточно подтвердить, что это ваш email.
Но это вряд ли нужно. IMHO достаточно первого пункта, чтобы не проверять кучу ящиков, а все входящие нотификации, коды для регистрации аккаунтов видеть в одном интерфейсе.
vikarti
И это (кроме всего прочего) напроч рушит идею для которой создавался тот же SimpleLogin — куча отдельных алиасов для каждого сайта + их контроль (и нет +tag это НЕ ответ) :(. Ну и для пользователей у которых совсем нет желания чтобы их переписка была доступа… ладно, админам mail.ru и всем кому они решили дать… это создает проблему.
Greenback
Никакого двоякого толкования. Аналогия: Когда в договоре написано "обязан оплатить оказанную услугу следующим способом:" это значит что только указанным способом и никаким другим.
Альтернативные толкования возможны с привлечением КС, но не для вас и не для меня, а для тех у кого "не более двух сроков подряд".