Comments 13
Авторизация через QR-код происходит следующим образом: система на сайте генерирует QR-код, пользователь сканирует QR-код с помощью смартфона, система проверяет информацию, содержащуюся в QR-коде, и авторизует пользователя без необходимости вводить логин и пароль.
А распознавать на стороне клиента должно приложение с уже пройденной авторизацией?
Как улучшить юзабилити ...
например, пользоваться правильной терминологией.
И вместо "Авторизация" в большей части текста статьи использовать "Аутентификация". Если от слова аутентификация сводит челюсть, то есть варианты на замену: "Идентификация", "Вход". Также:
Аутентификация — это сам процесс проверки подлинности пользователя, чтобы убедиться, что он является тем, за кого себя выдает. Для аутентификации пользователи могут вводить логин и пароль, биометрические данные или другие методы идентификации.
Авторизация — это процесс проверки прав доступа пользователя к определенным ресурсам или функциям. Он проводится после успешной аутентификации.
Спасибо за поправку. Исправлю неточность
Как в том анекдоте, "маркс и энгельс это два разных человека, а слава кпсс - вообще не человек".
Идентификация это не синоним Аутентификации. Это три разных процесса - идентификация, аутентификация и авторизация ( последнюю еще называют управлением доступом). Ну это если уж к терминологии цепляться.
Если мой сайт оказывает платные услуги для россиян и сайт размещен на зарубежном VPS то это считается что нарушаю закон или нет? Можно ли считать что я храню ФИО и почту своих клиентов заграницей и нарушаю закон?
Чтобы было понятно почему у меня возник этот вопрос вот cтатья 18. Обязанности оператора при сборе персональных данных, пункт 5:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Тема, конечно, для отделной беседы, но все же.
Для начала стоит разобраться, что считать персоанльными данными. ФИО + почта под это вполне подходит, так как можно идентицифировать человека.
Далее закон четко говорит о том, что данные россиян должны храниться в РФ, ведь даже крупные игроки это делают. Отвечая на ваш вопрос, вероятно да, вы нарушаете закон.
Для решения проблемы рекомендуем завести сервер в РФ и дублировать туда данные или хранить их только там, формально достаточно для исполнения закона.
Если я буду только email использовать и удалю ФИО и буду авторизовывать пользователей только по email, ФИО по большому счету только для удобства и не обязательно. Это будет считаться за нарушение закона или нет? Только один email это персональные данные или нет?
Вариант с email вероятно подойдет, так как по нему не идентицифировать пользователя, но не стоит забывать, что сайт собирает дополнитьельные данные вроде кук и прочего, плюс системы аналитики.
В совокупности это некая серая зона.
В целом описанное решение вероятно подойдет, но рекомендую проконсультироваться с юристами по этому поводу.
Реализация советов 3,4,12,13 сильно упрощает брутфорс аккаунтов и пробив баз из утечек. Боты приходят и начинают проверять "а вдруг тот е-мейл и пароль подходит и на вашем сайте и бонусные баллы ещё имеются".
Авторизация и регистрация в интернет-магазине и закон: как реализовать и не получить штраф