Comments 23
У 99% сайтов е-мейл и пароль для аутентификации. Слабо верится, что все они сейчас побегут внедрять доступ по телефону
На какие сервисы распространяется закон?
Я являюсь админом форума https://visio.getbb.ru/, отец-основатель форума умер в прошлом году.
Примерно 30% зарегистрированных, при регистрации указали gmail. Последние полгода на форуме никакой активности, форум живёт на бесплатном хостинге. Пишу парсер, чтобы перенести содержимое форума на другой хостинг (скорее всего GitHub Pages).
Дальше придется закрыть форум?
Ну не знаю, тут конечно вопрос к юристам, а еще специалистам по ИБ, ибо п.16 смущает. Но если читать буквально, по моему запретили не вход по емейл или логину-паролю, а вход через кнопку Gmail и тому подобное. Допустим, я - организация в РФ, имею свою, назовем это так, систему авторизации, у которой логин - набор букв из емейл. "Система авторизации" (пусть даже встроенная в собственно нашу систему, хотя в принципе это может быть и микросервис) должна быть размещена в РФ, то есть запрещен сторонний хостинг, это да. Но по моему - главное для этой "нашей системы авторизации" соблюдать те пункты требований по ИБ, но не обязательно быть большой системой типа Яндекс ИД. Причем по моему, даже логин может быть от gmail, главное чтобы кнопки "Войти через Google" не было. Отправку одноразового пароля на gmail вроде не запрещали, ну или по крайней мере в этом законе я этого не нашла.
Если читать буквально, там 4 способа аутентификации и е-мейл + пароль в списке нет
Если читать буквально, то четвертый способ - "Иные системы "входа"... выполняющие требования ИБ из п.16". Чем наша местечковая авторизация внутри нашей системы - не "иная"? Если она конечно не хостится за рубежом. А вот вход через гугл - не проходит под понятие иные, так как нарушает требование "не хоститься за рубежом". Спор может быть разве что с монолитными приложениями (тут да, погранично), а вот сервис авторизации самописный по моему проходит за милую душу.
Почитал 16 статью, в принципе да соглашусь..
Тоже поразбираюсь, спасибо за идею
Даже если логин/пароль считать "иным" способом, что на мой взгляд логично - возможность входа через только почту (восстановление пароля, отправку кода на почту и тп) - уже должно попадать под штраф.
Если рассматривать "цель" законопроекта в том, чтобы зарубежные ресурсы не могли злонамеренно войти на сайт под пользователем - то в случае восстановления пароля эта возможность останется.
Если норма относится не только к веб-сайтам, а к любым приложениям, доступным через интернет - то получается, что это относится и к корпоративным впн, и если кто-то делает удаленный доступ к своему личному компьютеру/серверу через ssh/rdp/radmin и тому подобные средства?
Я на своих сайтах просто закрою возможности комментирования и т.п. Тем более, что они не особо посещаемые, так что много не потеряю.
А как можно посмотреть финальный текст того закона, который меняется этим? то есть посмотреть финальную формулировку того, что получается в итоге, если применить правки? то есть версию ещё не вступившую в силу. В интернете нигде не найти такой текст.
Вообще, если распространять авторизацию при доступе к сайтам максимально широко, то так получается, что и по ssh подключиться к серверу для его настройки - тоже нельзя?
Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
благодарю за ваше мнение, ознакомлюсь с данным ГОСТом
Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден.
Но должна у сайта будет быть какая-то бумажка на обработку-хранение данных? Согласие юзера на обработку ПД, регистрация как оператора ПД?
Уведомление в РосКомНадзор об обработке ПДН, политика конфиденциальности и правила сайта как минимум. Эти вопросы на Хабре уже обсуждались. Поищите, там более развёрнуто описано, даже есть протокол действий.
Для комментов на сайте и мелкого местечкового форума даже заморачиваться не буду. Просто отключу-закрою.
Как быть с авторизацией пользователей после новостей о штрафах