Про авторизацию через иностранную почту

А тут есть такая авторизация? Я давно чот не логинился.

а именно за использование зарубежных сервисов ID

Ты там через что логинишься сам?

Интересовал вопрос, а если у меня почта не Yandex/Mail/etc, но при этом хостится в России, это нарушение?

При чем тут почта вообще? Там про системы авторизаций автоматические. Типа заходишь на сайт, а он предлагает залогиниться при помощи гугла. И вот владелец сайта дожен 700к.

При том, что когда этот законопроект обсуждался (а это было аж 3 года назад), журналисты зачем-то приплели сюда почту. Видимо потому, что иначе недостаточно хайпово :-/

Дополнение: вернее так - в 2023 ввели запрет, а в этом году добавили штрафы.

Хрен поймёшь.

Госдума приняла закон об авторизации через российскую почту 9 июня.

Запрет на регистрацию на российских сайтах с помощью электронной почты или аккаунтов иностранных сервисов вступил в силу в 2023 году.

И вот владелец сайта дожен 700к.

грозят административные штрафы. Для граждан его размер составит до 20 тысяч рублей, для должностных лиц — до 50 тысяч рублей, для юрлиц — до 700 тысяч рублей.

В очередной раз «ученый изнасиловал журналиста». Никогда не суди о новости или законопроекту по заголовку. Смотри сам законопроект.

Так же любят интерпретировать высказывания, приписывая то, что тот никогда не говорил - надо слушать оригинал высказывания.

Но почту тоже могут легко запретить еще - чего не то.

Видимо, придется что-то делать

Или нет. Сервером авторизации выступает LOR, используя связку логин+пароль. Это не Sign-in with Google/Apple/Facebook/whatever, где решение принимает этот сервис (хотя и здесь LOR может что-то ограничить).

Что, конечно, не решает проблему свободного толкования понятия «авторизация» в законе. Но натянуть могли и без этого закона кучей других статей.

… обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

4. с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации

и соответствующей требованиям о защите информации

А это 153-ФЗ, где данные должны храниться на серверах на территории РФ

Закон

UPD: Хотя юзер выше верно толкует, но так как я не сильно силён в трактовании законов, останусь наблюдать за развитием топика.

Разъяснение было официальное, да, речь об авторизации через сторонние ID-сервисы. В 2023 году был запрет без наказания, через 3 года добавили наказание.

Сейчас постараюсь найти.

P.S. Нашёл, https://t.me/ru_rocit/394, 2023 год.

Я почитал статью, и думаю что там речь идет про авторизацию, а не про регистрацию. При авторизации у нас никакие сторонние сервисы не используются, делается только проверка соответствия пароля хешу в БД.

Переезжать на не-ру домен в планах есть?

Переезжать на не-ру домен в планах есть?

Данный закон не различает в каком домене находится сайт.

раз уж тут собрались специалисты по разбору данного вопроса.

А если сайт позволяет только оставлять комментарии, без полноценной регистрации как таковой,
за «вход» через Google или Facebook* тоже будут наказывать? (К слову, ВК там тоже есть)
А если сайт старый и не особенно обновляется в последнее время, но всё еще посещаем?


* - принадлежит огранизации «Meta» признанной экстремистской на территории РФ

Да, но, ИМХО, закончится всё как с «авторским комиксом», когда они полностью легли под дудку РКН, удаляли целые разделы в тысячи переводов и оригинальных работ, а их всё равно заблокировали, просто потому что.

Ну хабр тоже переехал в своё время с ru на com. Помогло это как-то? Нет. Он так же выполняет требование РКН и скрывает/удаляет некоторые статьи. Тогда в чём смысл этого переезда?

скрывает/удаляет

для внутренних адресов

Угу.

А нахерафига?

Нет.

Текст пока не смотрел...

Не читал, но осуждаю?

Как и всё в этой стране будет применяться либо против неугодных (+1 повод заблочить какой-нибудь иностранный сервис, который, очевидно, не будет реализовывать это требование), либо против невезучих. Качай удачу и расслабь булки. Ну либо слови 20к штрафа и попробуй на этом построить кейс (задача, конечно, будет очень творческая) политубещища в какой-нибудь стране, где вход через гугл легален.

+1 повод заблочить какой-нибудь иностранный сервис, который, очевидно, не будет реализовывать это требование

Требование распространяется только на российских юридических лиц и граждан.

Но в ФЗ «О связи», насколько я помню, были требования по наличию юр. лица в РФ для определенных категорий сервисов.

Тут (linux.org.ru) уже много нафлудили на тему этого закона (законопроекта). Законопроект приняли практически в том же виде, что и обсуждали (только в паре мест для уточнения добавили словосочетание "сети "Интернет").

Я так понимаю, что из-за чрезвычайно широкого понятия «персональных данных» чисто формально можно придраться практически к любому сайту, где пользователи что-то пишут/размещают (в особенности с созданием учетной записи пользователя), насчет необходимости использования сертифицированных средств защиты информации для обработки персональных данных. Но на практике этого не делают.

Обсуждаемый нами закон указывает на необходимость осуществления авторизации одним из способов, предусмотренных Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Там помимо номера мобильного телефона, госуслуг и биометрии предусмотрена возможность авторизации с использованием иных сервисов, принадлежащих российским гражданам или юридическим лицам. Вот только эти иные сервисы авторизации должны соответствовать требованиям о защите информации, предусмотренным статьей 16 того же закона 149-ФЗ. В статье 16 ничего прямо не сказано, есть только общие слова о том, что «2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации». Но тут мы возвращаемся к тому, что требования о необходимости использования сертифицированных средств защиты информации при обработке персональных данных установлены, а за обработку персональных данных в силу широты этого понятия можно при желании придраться к любому сайту с авторизацией.

Но, как я отмечал здесь, по мелочам придираться ко всем подряд, очевидно, не будут. Единственное, что я бы убрал с российских сайтов, это авторизацию с использованием иностранных social login сервисов (Google, Apple, Microsoft, Steam и т.п.), т.к. принятый закон, скорее всего, прежде всего против этого направлен.

Что касается электронной почты, то если она просто указана в учетной записи пользователя или даже вводится им в качестве логина – то ничего страшного. Для авторизации именно как сервис она не используется. Другое дело, если на иностранный адрес электронной почты приходит проверочный код, который пользователь обязан ввести для входа на российский сайт. Это уже должно подпадать под установленным законом запрет. Продолжая эту мысль, я боюсь, что под запрет подпадает и указание иностранной электронной почты при регистрации пользователя на сайте, при условии что для завершения регистрации и первого входа (авторизации) на сайте он должен перейти по переданной ему по электронной почте ссылке.

А если он предлагает получить данные с помощью Гугла, а авторизоваться после локально?

Вы как будто первый раз, правоприменение по последним законам иногда для не-власть придержащих на редкость неожиданное.

Пока вроде это не запрещено. Но тенденции такие, что гугл должны будут заблокировать в прицнипе. Но это не точно.

Если ты владелец ресурса, я бы убрал даже возможность валидации через гугл. На будущее как минимум.

Я вообще убрал ресурс из .ru

Это же касается только ИП/ООО, какое ЛОР имеет к этому отношение?

скрывает/удаляет некоторые статьи.

При заходе с российских IP. Для не-российских не скрывает.

На это пофигу, этим и так пользоваться ни в коем случае нельзя. Но не может же быть всё так просто, наверняка какая нибудь засада.

Я про это знаю. Что мешает делать это в домене ru (скрывать для RU-IP или для определенной категории (видят только те у кого N-скора) пользователей (обычный бот или сотрудник РКН эту информацию просто так уже не увидит)?

Я если вернуться к изначальной теме, то смысла переезжать ru -> com нету (тем более с такой авторизации, как на это сайте).