Comments 62
Интересно, хоть один представитель этого совета стариков представляет что они только что одобрили?
Одобрили очередные способы пополнять кубышку, вестимо
Нет конечно. Вообще-то они ещё и Линукс запретили.
Запретили участвовать в любых иностранных non-profit организациях, кроме тех, что им жопу лижут.
Суд уже выдал пояснение, что "участвовать" включает распространять сведения об, и распространять продукцию этих организаций.
GNU Foundation, KDE и другие - иностранные non-profit организации. За ними зарегистрированы эти торговые марки и ПО.
Может, соберёмся и подадим в суд на AstraLinux за нарушение нового закона?
Всё правильно одобрили. В рунете всёравно делать давно уже нечего. 2007 год уже давно ушёл.
А как проверять "иностранность" почты пользователя?
Нет доступа у гебе? Значит иностранная.
Госдума приняла в третьем чтении законопроект о регулировании услуг по размещению сайтов. Оказывать их будет запрещено компаниям, не попавшим в специальный реестр. rbc.ru
часто именно регистрация через иностранные сервисы становится брешью
Точно! Ведь российские сервисы сверхзащищенные, тут-то совершенно невозможны никакие бреши..
Я кстати не понял. А как они собрались проверять:
1. Кому принадлежит сайт
2. Как и кто на нем зарегистрировался и откуда.
в рунете домены регистрируются по паспортным данным
Пробуют зарегистрироваться на сайте с использованием неправильной почты. Если получилось - значит закон не исполняется владельцем.
Разве речь только про рунет?
Фактически это означает что телега сотрудничает с режимом. Пора бы дурову это признать.
Здесь речь про то, что проверять будут тех, на кого пальчиком покажут и появится повод наказать. (Но не всегда появится возможность, тогда просто заблокировать.) А там может оказаться почта из какой-нибудь организации, объявленной или незарегистрированной и можно уже сотрудничество пришить. Сова будет трещать, но ей не впервой.
А могут и не наказать, как со всякими ютубобуками было, когда "у нас нет в планах проверки", означавшее "мы пока боимся, но всё может измениться".
Что-то вы рановато. Закон ещё в силу не вступил, телеграмм ещё не ввел никаких ограничений (и неизвестно, введёт ли), а вы уже выводы сделали.
Не будут проверять, наконец-то сделают регистрацию по логину и паролю.
Красивый способ обойти требования нового закона.
Который будет действовать ровно до того момента, пока высокий чиновник не прочитает какой-нибудь «экстремизьм», написанный анонимом.
После этого привязка к почте станет обязательной для всех сайтов
наоборот - авторизация\регистрация чисто по логину теперь вне закона. Закон определяет, что пользователи ДОЛЖНЫ предоставить что то одно из 4-х вариантов
Законы подобного типа нужны не для того чтобы они исполнялись, а для того чтобы все были по умолчанию виноваты в чем-нибудь, и когда надо кого-то посадить, на этого кого-то легко можно набрать хвост нарушений
«Поправка направлена на защиту персональных данных россиян — часто именно регистрация через иностранные сервисы становится брешью, через которые персональные данные попадают в открытый доступ либо крадутся киберпреступниками», — пояснил Хинштейн.
Любому очевидно что такой закон создан для упрощения поиска автора коммента.
А не ради "безопасности". Утекают данные у всех, вне зависимости от того иностранный сервис или нет. Регистрация через ЕСИА, гораздо хуже, ведь утекает уже не почта, которая никому ничего не даёт без взлома, а как раз таки персональные данные. Т.е. закон наоборот ухудшает безопасность.
Заодно закон запрещает любые новостные сайты/агрегаторы, если его владельцы иностранцы или имеют иностранный паспорт(даже одновременно с российским). Опять же, чтобы владельца проще было найти.
Представитель Госдумы пояснил СМИ, что под «иной информсистемой» подразумеваются российские сервисы, например «Вконтакте» или почта типа Mail[.]ru
То есть VK или VK. Ну, вероятно ещё Яндекс разрешат.
Рамблер!
Что Яндекс, что Рамблер, что ВК/Маил, регистрация всё равно по телефону.
Даже если разрешают его не указывать, то через некоторое время учётка блокируется, якобы потому что с неё совершаются подозрительные действия. И их не смущает даже, что никаких действий кроме регистрации ещё вообще не было(видимо регистрация в ру зоне и есть подозрительное действие).
Спасибо что напомнили об этом российском почтовом хостинге. Зарегистрировал себе российский емейл @rambler.ua на всякий случай.
Касается только почты или oauth тоже ?
И как быть сервисам которые работают на международный рынок?
Ну если это нужного человека сервис то все нормально, закон не для него писан. Если все остальные, то кого волнуют ваши проблемы, как говорится
Может, будет как в Китае: отдельные копии сервисов для зарубежных пользователей.
В текущей версии поправок к ФЗ «Об информации, информационных технологиях и о защите информации» и ФЗ «О связи» не предусмотрены санкции для владельцев интернет-ресурсов, которые не обеспечат возможность регистрации нужными способами. «Меры ответственности действительно не прописаны, это случится позже, после оценки правоприменительной практики», — уточнил Горелкин.
Ну прямо отжайл, какой-то ...
Я не понял, о чем вообще речь? Речь о почтовых (и прочих) сервисах или об именах почтовых ящиков? Почтовые имена часто используются в качестве логинов и к сторонним сервисам авторизации вообще отношения могут не иметь.
Самое главное, не понятно, вводится ли запрет для всех сайтов на авторизацию через обычные логин/пароль (что по умолчанию встроено во все движки)?
Может кто пояснить, что депутаты имели ввиду?
Они сами не очень понимают.
Они хотят, чтобы для любой учётной записи можно было найти по цепочке паспорт (через номер телефона или через почтовый ящик, привязанный к номеру телефона). То, что это напрочь сломает всю аутентификацию, — это уже не их проблемы, а наши с вами и пользователей.
Но тогда как же банки будут проводить авторизацию? Через сторонние сервисы? Но банки, по моему, не cмогут гарантировать безопасность такой авторизации (например через VK). Через номер телефона? Да, банки могут заключить договора с сотовыми операторами, но... как я понимаю, речь идет не об авторизации через СМС, а об авторизации через подтверждение сотового оператора, а как пишут по ссылке выше, регламентированное время ответа - до 20 минут. Это значит, при любой авторизации через телефон надо будет до 20 минут ждать? Так что ли? Я всё же не понимаю хода мыслей авторов закона.
Зачем банкам использовать сторонний сервис? У них есть свой, удовлетворяющий части четвёртой: «с использованием иной информационной системы,
обеспечивающей авторизацию пользователей сайтов и (или) страниц
сайтов в сети «Интернет», и (или) информационных систем, и (или)
программ для электронных вычислительных машин и соответствующей
требованиям о защите информации, установленным статьей 16 настоящего
Федерального закона, владельцем которой является гражданин Российской
Федерации, не имеющий гражданства другого государства, или российское
юридическое лицо».
У них такая «иная» информационная система есть, каждый банк её для себя разработал. Отсылка на статью 16 — это отсылка на требование приземления данных, то есть требование хранить персональные данные на российских серверах, банки давно уже это делают.
Для банков не меняется ничего вообще.
Ну тогда получается, что любой сайт (владелец которого - российское лицо и если хостинг в РФ) со встроенной авторизацией через логин-пароль - это тоже такая «иная» информационная система?
Тогда не понятно, почему акцент обсуждения строится на емэйле. Ведь тогда емэйл - это лишь логин, а сервис авторизации встроен в российский сайт.
>это тоже такая «иная» информационная система?
Любой — нет. Банк точно знает, что человек с этими идентификационными данными (логин/пароль) — это конкретное физ. лицо, он при первом обращении в банк проверил его паспорт и однозначно сопоставил этот паспорт с этими данными. Поэтому банковская система подходит под этот закон.
Насколько я понял, если у вас просто сайт, который просто регистрирует по логину и паролю, то ваша система этому закону не удовлетворяет, потому что вы не проверяете соответствие логина/пароля конкретному физлицу. А цель закона — возможность отслеживать владельца аккаунта по цепочке вплоть до паспорта. Хотя, я ещё раз перечитал четвёртый пункт, явно там это не прописано: толковать выражение «обеспечивающей авторизацию пользователей сайтов» можно по-разному.
Да, я о целях закона догадываюсь. Но тогда что делать миллионам обычных сайтов (интернет-магазинам и пр.)? Отключать регистрацию по логину/паролю, интегрировав только авторизацию через пару-тройку российских соцсетей? Но не все движки сайтов позволяют это сделать из коробки, тем более - оставить регистрацию по логину/паролю для старых пользователей и новую (через соцсети) для новых пользователей. Вряд ли у всех будет возможность нанимать программистов.
И еще пара моментов:
1) А российские соцсети и почтовые сервисы предоставят свободный и бесплатный доступ к своим системам авторизации?
2) Как можно сайту опираться при авторизации исключительно на сторонние сервисы. Ведь тогда все сайты и бизнесы, получается, будут на 100% зависеть от них. Например, накроется по любым причинам сторонний сервис авторизации (или закроется свободный доступ) и... каюк бизнесам? Так что ли? О возможных (экономических) последствиях кто-нибудь думал?
>Но тогда что делать миллионам обычных сайтов
>(интернет-магазинам и пр.)?
Оставлять регистрацию новых пользователей только по email из белого списка (mail.ru, rambler.ru, yandex.ru), это самый простой вариант. В комментариях законодатели специально оговаривают, что для существующих аккаунтов никаких изменений нет. Речь идёт только о создании новых аккаунтов при входе с российских IP. Каждый новый аккаунт после вступление в силу поправок должен быть проверен одним из четырёх способов.
>свободный и бесплатный доступ к своим системам
VK, mail.ru, yandex.ru предоставляют.
>Как можно сайту опираться при авторизации
>исключительно на сторонние сервисы
Это не требуется: регистрируйте пользователей по email на российском сервисе.
Оставлять регистрацию новых пользователей только по email из белого списка (mail.ru, rambler.ru, yandex.ru), это самый простой вариант.
В законе речь не о регистрации, а об авторизации. Как я понимаю, авторизация подразумевает проверку при каждом входе на сайт. А верификацию емэйла при каждом входе я нигде еще не встречал. Да и в движках сайтов такого функционала не припомню.
время домовых чатов на основе какого-нибудь мессенджера, работающего по локальной сети.
>Речь о почтовых (и прочих) сервисах или об именах почтовых ящиков?
В законе речь идёт о сервисах. Имена (логины, ID, email, UIN) тут даже не упоминаются, с помощью какого слова будет осуществляться авторизация тут никак не регулируется.
>вводится ли запрет для всех сайтов на авторизацию через обычные логин/пароль
Частично. Авторизация через логин/пароль без подтверждения через стороннюю систему (хотя бы по email) будет запрещена. Но сейчас так почти никто уже не делает, везде нужен email, иначе заспамят. То есть сейчас для регистрации нужно три сущности: логин, пароль, email. При этом часто логин === email. Такая авторизация будет возможна, но только при условии, что email этот будет на одном из российских сервисов, который уже сам проводит авторизацию пользователя по паспорту, через Госуслуги или по номеру телефона хотя бы. Иными словами, регистрация на сайте через pupkin@mail.ru будет возможна, а через pupkin@gmail.com — нет, это будет нарушение закона.
Авторизация через логин/пароль без подтверждения через стороннюю систему (хотя бы по email) будет запрещена. Но сейчас так почти никто уже не делает, везде нужен email, иначе заспамят.
Но ваша логика касается только регистрации, ибо обычно только при регистрации требуется верификация емэйла. Да и этот момент омнителен - не уверен, что такой процесс подпадает под пункт о "прочих системах".
В законе речь об авторизации, т.е. если принять допустимость предложенной вами трактовки, то тогда ведь придется верифицировать почту при каждом входе. А такой авторизации я не встречал.
Я правильно понимаю, что по этому закону мелкий технический форум по конкретному железу должен или интегрироваться во все наши государственные системы аутентификации, или закрыть регистрацию к чёрту?
Таки да. И хостинг этого форума тоже.
Сменить домен RU на другой. Это поможет интересно?
Нет, неправильно. Читайте сам закон, а не то, что рабиновичи тут напели.
Кто:
- владелец ресурса — российское юридическое лицо или гражданин РФ
И
- осуществляет деятельность на территории РФ
И
- авторизует пользователей для доступа к информации
Должен авторизовывать через:
- российский номер телефона
И/ИЛИ
- ЕСИА (Госуслуги)
И/ИЛИ
- ЕБС (по биометрии)
И/ИЛИ
- любой другой российский (>50% акций) сервис авторизации
В разделе «кто» должны выполняться все условия. Владелец сайта — гражданин Казахстана? Всё, эти поправки к этому сайту не относятся. Даже, если это русскоязычный сайт на российском хостинге.
Ко всем государственным системам подключаться не нужно, достаточно к чему-то одному из четырёх пунктов. Четвёртый — это через VK, почту mail.ru и так далее. То есть, вы просто должны для новых регистраций запретить использовать любую почту, кроме публичных российских систем — это самое технически простое, что нужно сделать для соблюдения условий нового закона.
Нюанс в том, что по этому закону теперь нельзя авторизовывать с помощью произвольной электронной почты. То есть, если у меня свой домен и своя почта на нём, то с этой почтой я больше не смогу нигде зарегистрироваться, должен заводить почту на каком-то российском почтовом сервисе. Большой вопрос, что делать со своими доменами, заведёнными на mail.ru. С одной стороны, меня авторизует mail.ru. С другой стороны, владельцы сайтов, скорее всего, просто введут проверку по доменам и запретят регистрацию «со всего, кроме…» и с почты на своём домене, даже под управлением mail.ru, я авторизоваться не смогу.
Да, первые три пункта выполняются, потому и возник вопрос.
Тогда один из четырёх способов:
— по номеру телефона с подтверждением по СМС/звонку
— через ЕСИА
— через ЕБС
— по email на российском хостинге или через авторизацию VK, Яндекс, mail.ru.
Цель закона — возможность однозначно сопоставить владельца аккаунта на «мелком техническом форуме» с конкретным физическим лицом. При этом, сам владелец сайта может и не знать, что за конкретное физлицо у него зарегистрировалось, ему это в общем-то и не нужно. А вот оперативно-разыскные мероприятия это сильно упростит. Сейчас: незаконное сообщение на форуме оставлено юзером pipkin84 через VPN > email на gmail.com > след потерялся. А будет: незаконное сообщение на форуме оставлено юзером pipkin84 через VPN > email на mail.ru > номер телефона > паспорт № на имя Василия Пипкина 1984 г.р., проживающего по адресу.
Хорошо, а вот если например:
1) Я гражданин РФ, держу небольшой форум не только для граждан РФ, получается при регистрации пол зователец я должен смотреть ip адрес, и например выдавать новому пользователю ошибку, если с территории РФ он пытается зарегаться с Gmail почтой? Для oauth так же?
2) гражданин РФ решил отдохнуть в Турции две недели и зарегаться на моем форуме соответственно он может или не может зарегаться оттуда с другой почты? Если да, то должен ли я выдать бан пользователю по его приезду в РФ?
1) Именно. Потому то иных способов определить «пользователей, находящихся на территории Российской Федерации» невозможно.
2) Это интересный вопрос. Написано «обязан проводить ее [авторизацию] в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов». При этом в комментариях законодатели говорят, что для уже зарегистрированных аккаунтов ничего не меняется, то есть в их представлении «авторизация» произошла в момент регистрации аккаунта, а дальше владельцы аккаунтов входят уже без проблем. Соответственно, авторизацию гражданин РФ из Турции прошёл не как «пользователь, находящийся на территории Российской Федерации», следовательно положения закона к нему не применяются.
То есть, вы просто должны для новых регистраций запретить использовать любую почту, кроме публичных российских систем — это самое технически простое, что нужно сделать для соблюдения условий нового закона.
Речь в законе не о регистрации, а об авторизации. Поэтому, если буквально трактовать закон, надо запрашивать сторонний сервис авторизации при каждом входе на сайт. Правильно?
Плюс к тому, если трактовать буквально, то я даже на свой собственный сайт (как администратор) не буду иметь право войти просто по логину/паролю. Выходит, так?
Законодатель, исходя из озвученных авторами комментариев, трактует понятие «авторизация» как процесс, который происходит при регистрации новой учётной записи, а не при каждом входе на сайт.
Я из их комментариев сделал обратный вывод. Без подробной расшифровки вашу трактовку не могу принять. Если под авторизацией подразумевать регистрацию на сайте, то необходимо расшифровывать, как её производить, например, указать требование верификации емэйла и т.д. Без такой расшифровки трактовка (аторизация == регистрации) теряет смысл.
С учётом текущей ситуации, это имеет смысл для властей. Входят и оставляют комменты не какие то анонимы, а конкретные граждане.
А например интернет-магазины причем? Миллионы бизнесов и сайтов, где нужна авторизация, но не для оставления комментариев.
Например, я планирую сделать сервис с разного рода калькуляторами. Было бы полезно позволить пользователям регистрироваться, чтобы они могли сохранять историю результатов. Всё? Отныне будет нельзя сделать через логин-пароль? А ведь для таких целей по сути не нужны никакие персональные данные.
Совет Федерации одобрил запрет на регистрацию на сайтах в рунете с иностранной электронной почты с декабря 2023 года