Законопроект об ответственности за неправильную систему авторизации на сайтах

Теоретически я вижу один совершенно легальный способ обойти данное требование. Он заключается в регистрации сайта/программы на какую-либо офшорную/иностранную фирму-прокладку. Но не знаю, насколько просто это можно сделать на практике.

законопроект

Новость о намерениях)

(Но думаю, что примут)

Теоретически я вижу один совершенно легальный способ обойти данное требование.

Пустить анонимуса в толксы)

Новость о намерениях

Законопроект внесен, а не то, чтобы его собирались внести.

Пустить анонимуса в толксы

Тогда только он и сможет писать на сайте (для входящих в свою учетку пользователей, наличие анонимуса требований к способам авторизации не отменяет).

Я же давал раньше такое предложение. Все буду анонимусами а чтобы не путать будут часть ип по формуле - преобразовывать в цифры и прилеплять к нику.

Есть важное уточнение:

Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

пользователей, находящихся на территории Российской Федерации

То есть, для пользователей, которых сайт не определяет находящимися на территории Российской Федерации, можно использовать любые способы авторизации. То есть, если юзер логинится не с российского IP, тем или иным способом, сайт может ему разрешить авторизацию с помощью email.

пользователей, находящихся на территории Российской Федерации

Ну да, у меня в новости о «находящихся на территории РФ» тоже есть.

Только насчет возможности использования иностранного IP-адреса как еще одной хитрости для упрощенного способа авторизации я не подумал.

пользователей, находящихся на территории Российской Федерации

Немного изменил формулировку, чтобы не было путаницы, что я имел в виду. Во фразе «…то авторизация пользователей такого сайта/программы/информационной системы, находящихся на территории РФ, должна производиться c использованием…» слова «такого сайта/программы/информационной системы» удалил.

…Товарищ майор внимательно записывает…

Лучше сделать индентификацию с помощью куки.

RiP LOR.

tags: авторизация, безопасность, безысходность

*fixed FTGJ*

Получается закон придуман только против россиян

А российская электронная почта (mail.ru) чем не российский сервис авторизации? :)

Звучит накуренно, но по сути получается, что юзер с территории РФ должен авторизоваться через почту на домене РФ.

В общем условно побанят регистрацию через gmail небось на крупных сайтах и дело с концом

Лорокапец наступил. Всем придётся идти в толкс.

Теоретически я вижу один совершенно легальный способ обойти данное требование.

Можно смело просто игнорировать. Закон не повод подвергать своих пользователей опасности в виде авторизации через:

1. номера мобильного телефона;
2. госуслуг;
3. биометрии;
4. (!!!) российских сервисов авторизации (типа vk.com, mail.ru, yandex.ru, банковских ID).

Посмотрел, а единственный-то сайт, на который я логинюсь в РФ это ЛОР 😨

Теперь придется через мессенджер Max что ли лорчевать?

А российская электронная почта (mail.ru) чем не российский сервис авторизации? :)

Только это не почта, а спам-помойка.

В законе с 2023 года речь идёт не о запрете авторизации с использованием электронной почты как логина, а про запрет авторизации с использованием сервиса иностранной электронной почты, как сервиса авторизации (OAuth), как например авторизация через аккаунт Гугл или через Майкрософт. Авторизация через электронную почту, используемую как логин - это по сути собственная информационная система авторизации.

Та не, не примут для всех, может только для очень крупных сайтов.

Но всё равно было бы неплохо завести запасную площадку на такой случай. Ну хотя бы список рассылки.

не примут для всех

Примут. Фактические требования об авторизации уже существуют. Осталось только ответственность принять.

Переводим сайты в режим а-ля двач. Все будут анонимусами.

то есть типа делать логин через емейл уже нельзя?

Можно если емейл в РФ (mail, yandex, rambler etc)

Откуда они такие умные стали? Выгоняют пипл из интернетов

При этом не следует путать первоначальную регистрацию пользователей на каком-либо ресурсе и его авторизацию в каждый раз при входе на него (как я ошибочно видел на одном из новостных сайтов). В законе речь идет об авторизации пользователей.

То есть просто логин/пароль больше нельзя?

Или путают авторизацию с регистрацией? Тут есть слова автора законопроекта, там вроде по смыслу все-таки речь про регистрацию. https://www.rbc.ru/rbcfreenews/691732019a7947058a9d2ba6

Депутат напомнил, что требования о способах авторизации были приняты два года назад.

По мнению директора по продукту доменного бизнеса «Руцентра» Марины Брик, переход на российские почтовые сервисы (Mail.ru, «Яндекс») может вызвать неудобства у пользователей, привыкших к Gmail, но полного отказа от зарубежных сервисов не требуется: можно завести дополнительный ящик в зоне «.ru» и настроить переадресацию.

То есть вроде все-таки речь про зарубежный OAuth, иначе это бред какой-то. Да и два года назад вроде имели ввиду именно что-то вроде OAuth и тогда исчезли с российских сайтов логины через гуглаккаунт, фейсбук и тп.

Вот здесь комментарий еще к тому закону (2023-й год) за нарушение которого предлагается штрафовать: https://t-j.ru/news/stop-ino-id/

Закон касается только систем авторизации, или SSO, позволяющих заходить на сайты через учетную запись в сторонней экосистеме. К таковым относятся Apple ID, Google ID и другие. Ограничение распространяется именно на зарубежные сервисы авторизации.

Если пользователь заходит на сайт через электронную почту — даже иностранную, — все происходит иначе. Его аутентификация проводится не на стороне почтового сервиса, а на самом российском сайте, где хранится электронный адрес, он же логин, — и пароль. Именно программное обеспечение российского сайта будет «информационной системой, обеспечивающей авторизацию». И это соответствует требованиям закона.

Иначе говоря, если только у Максима нет иностранного гражданства, то все в порядке: LOR и другие российские сайты с логин/паролем сами по себе и есть такая «информационная система, обеспечивающая авторизацию».

При этом даже можно иностранную почту использовать для регистрации.

Путаница возникла из-за того, что СМИ массово использовали формулировки типа «запрет регистрации с иностранной почты», подразумевая именно сервисы авторизации. Неясно выражались и чиновники, в том числе автор закона — депутат Антон Горелкин.

Позднее Горелкин говорил уже об отсутствии запрета на иностранные почты при регистрации и авторизации. В своем телеграм-канале он отмечал, что требований к стране регистрации почты нет, если она используется в качестве логина.

«Существует ошибочное утверждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail», — написал Горелкин.

Правда это было два года назад, поменялось ли что-то, кроме назначения штрафов я не читал. Кроме того, пока за нарушение не было штрафов, сайт могли заблочить в РКН, но не штрафовать, а как могут правоохранители интерпретировать тоже еще вопрос.

С другой стороны, вроде как никакого реестра российских средств авторизации нет. Поэтому непонятно, почему ЛОР вдруг не может считаться такой информационной системой и должен использовать VK ID, Яндексовые ID или еще что: чем те сервисы лучше.

В принципе ничто не мешает Максиму прикрутить раздачу OAuth и тогда другие сайты смогут авторизоваться через ЛОР. Чем он (ЛОР) тогда хуже VK?

P.S. Хотя есть требование ст.16 об защите информации. Нельзя просто так. Блин все сложно.

Вход на ЛОР будет по смс?

Новость навивает туманные образы, не могу до конца расшифровать, в чем они заключаются. Кажется, что-то связанное с фонарями. И еще как будто что-то похожее на висеть.

то есть типа делать логин через емейл уже нельзя?

Можно. Автор новости очень фигово читал текст и сделал надуманную и желтушную новость. Я полагаю - от безграмотности. Разговор идет не о запрете авторизации посредством почта/пароль, а о запрете авторизации через, как тут чуть выше заметили системы OAuth.

Вход на ЛОР будет по смс?

Да. Высылать - автору новости. Чтоб больше такой надуманной ереси не постил.

Но зачем тогда пишут про номер телефона?

Ахахахахха, то есть мяу

Но зачем тогда пишут про номер телефона?

Из того, что прочитал в этом законопроекте я - это всего-то возможность. Можешь реализовывать, можешь - нет.

Я выше написал, что зря панику развели, но потом вчитался в текст закона: там не все так просто:

https://legalacts.ru/doc/FZ-ob-informacii-informacionnyh-tehnologijah-i-o-zaw...

с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона,

Выполнить это «соответствие требования о защите информации» может подразумевать таки сертификации и тп. В общем тогда проще будет прикрутить VK ID, чем долбануться с ним. Для физлиц вообще не факт, что оно возможно.

Хз. Ситуация неприятная.

> Я полагаю - от безграмотности.

Авторы законопроекта косноязычны и мутно все формулируют. Могли бы написать, что логин/пароль, зарегистрированный на сайте, тоже легален. Но не написали. Или из-за косноязычности или таки действительно низзя...

Или из-за косноязычности или таки действительно низзя…

Скорее первое. Подвел «русский юридический» я думаю :) Тут разговор, как я понял о том, где именно хранятся данные пользователя для авторизации. Если пользователь гражданин РФ - данные должны храниться и обрабатываться на территории РФ. Т.е. Вася регистрируется на сайте ПУПКИН.РФ с применением почты gmail.com и вводит все данные на сайте, находящимся в РФ - ок, а вот если Вася авторизуется через систему OAuth, которая хранит данные пользователя, допустим, в Албании - то не ок.

Rutracker теперь запретят?

Авторы законопроекта косноязычны и мутно все формулируют. Могли бы написать, что логин/пароль, зарегистрированный на сайте, тоже легален. Но не написали. Или из-за косноязычности или таки действительно низзя...

Нет, не мутно.

Обыкновенный законотворческий канцелярит, призванный оставить в законе лазейку для правильных кабанов с православными адвокатами.

Уж мы-то не тупые и понимаем что такие законы - ни про безопасность, ни про борьбу, а просто про еще одну ниточку.

Авторы законопроекта косноязычны и мутно все формулируют.

Это специально делается, чтобы трактовка была пошырше.

Анонимусов запретят прежде всего — будет интернет строго по паспорту.

Анонимусов запретят прежде всего — будет интернет строго по паспорту.

Что уже давно пора сделать, при том повсеместно.

то есть типа делать логин через емейл уже нельзя?

Тут такая интересная ситуёвина насчет идентификации, аутентификации и авторизации. Общепринятые определения (с примерами) можно найти, например, здесь (practicum.yandex.ru):

• идентификация – это процесс, в котором субъект (например, пользователь, устройство, сервис) сообщает системе, кем он является;
• аутентификация – это процесс проверки подлинности субъекта, который перед этим прошёл идентификацию;
• авторизация – это процесс определения прав субъекта внутри системы. После того как личность была идентифицирована и подтверждена, система должна решить, что именно разрешено делать этому субъекту.

В нашем случае в законе речь идет почему-то об авторизации.

Если посмотреть официальные документы (не закапываясь в труднодоступные ГОСТы, а только в легкодоступном законодательстве), то можно найти иное (более подходящее к нашему случаю) определение термина «авторизация». Оно содержится в постановлении Правительства РФ от 23.09.2020 N 1526 "О Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет…». Согласно содержащемуся там определению, авторизация – это внесение зарегистрированным пользователем сети «Интернет» информации в коммуникационный интернет-сервис, необходимой для получения доступа к функциональным возможностям указанного коммуникационного интернет-сервиса.

Вот только данное определение не содержит прямого указания на то, в каком качестве должен использоваться email:

• достаточно ли использовать его только как средство идентификации? В таком случае можно сохранить старый способ входа в систему, когда email вбивается в поле «login», а средством аутентификации служит пароль;
• существует ли обязанность использовать email в качестве средства аутентификации? В таком случае нужно будет при каждом входе на сайт получать на этот email одноразовый проверочный код.

то есть типа делать логин через емейл уже нельзя?

В догонку. Сейчас я подумал, что ключевым в рассматриваемом законе является понятие «использование»:

1. абонентского номера оператора подвижной радиотелефонной связи;
2. единой система идентификации и аутентификации {госуслуг};
3. единой система идентификации и аутентификации физических лиц с использованием биометрических персональных данных;
4. иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для ЭВМ и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона.

Что значить использовать номер мобильного телефона? Ответ: его используют напрямую для звонков и SMS, может быть еще опосредованно для push-уведомлений, сообщений в мессенджерах. Вероятно, это не то же самое, что использовать сведения о номере мобильного телефона (когда его просто кому-либо сообщают, например если вводят в поле «login» сайта). Исходя из этой логики, в нашем случае использование номера мобильного телефона подразумевает получение с его помощью одноразового проверочного кода для входя на сайт.

Что значит использовать единые системы идентификации и аутентификации, думаю, и так понятно.

А теперь внимание: вопрос. Что значит использовать иную информационную систему, обеспечивающую авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для ЭВМ? Допустим, речь идёт об email. Как используется email? Правильно – для получения и (или) отправки электронных писем. Использование email – это не то же самое, что использование сведений об адресе email. Вот и ответ на искомый вопрос.

«Когда коту нечего делать, он лижет себе яйца»

На моих сайтах нет пользователей. Только админы.

Получается закон придуман только против россиян

Не свобода это свобода.

Откуда они такие умные стали? Выгоняют пипл из интернетов

Ботов много из-за границы. Теперь ИИ будет комментарии писать.

Вход на ЛОР будет по смс?

Через фейс айди.

А не проще, чем воевать с каждым сайтом, просто обязать операторов давать доступ в интернет через «нужную» программу, которая все это будет учитывать, ловить и передавать куда надо?

Нет программы, нет интернета. Есть программа, лишается смысла вся возня с впнами, обходами и прочим. Можно сделать все что надо, можно отследить все что надо, заблочить все что надо.

Sancta simplicitas =)

Не проще.

Цель закона слишком очевидна, чтобы его воспринимать с детской наивностью.