Comments 129
Ждём адекватный разбор законопроекта от экспертов. Что считать российской почтой, каких это сайтов касается и т.д.
Пока понимания этого законопроекта нет.
Например домен в зоне info, привязанный к почте Яндекса, это российская почта? Или должен быть какой-то определенный домен, например RU, если так, то должен быть официальный список доменов верхнего уровня, которые можно использовать. А важно какие MX сервера прописаны? А то может пользователь с почтой RU использует американские сервера и т.д.
Пока понимания этого законопроекта нет
Не беспокойтесь, у его авторов тоже
в каждой шутке есть доля шутки и соответственно доля не шутки.
общее понимание чего они хотят есть и, откровенно говоря, оно у них было начиная с первого закона много лет назад. не знаю есть где-то в рунете хронология принятия всех этих законов, но думаю и без нее сегодня ясно куда все идет. будет по сути почти автономная сеть. давно уже всем надо было понять, что планы у них амбициозные, но они не первые на планете, кто подобное делает. зато первые по части работы с социумом и пропагандой, так что большинство людей даже не взбрыкнется.
закон не достачтоно ясный? ну так это они по аджайлу работают, и с точки зрения правок и по части принуждения социума. сначала он будет работать наполовину и как бы претензии к вам не будут озвучиваться, а потом уточнят и все будет строго. лягушку варят медленно, чтоб не выскочила из чана от внезапных перемен...
Это вам так скромно намекают что российские сервисы прекрасно проживут без вас :)
В законе написано, что это касается только жителей рф.
"...в отношении пользователей, находящийся на территории Российской федерации..."
На Вас это не распространяется, однако, остаётся открытым вопрос с необходимостью и способами доказательств того, где находится пользователь.
У меня свой почтовый сервер, но домен от островов Токелау :) русский это сервис или не нет ?
Если я чешу в затылке -
Не беда
В голове моей опилки
Да-да-да !...
Меня другое интересует, а прокси на gmail, но с русским доменом это ру почта?
"иную информсистему, обеспечивающую авторизацию пользователей сайтов и
владельцем которой является гражданин РФ, не имеющий гражданства другого
государства, или российское юрлицо с иностранным владением менее 50%."
И как тогда доказывать принадлежность мне этой информсистемы ? ..зуб даю !...
Странные люди, просто сделают разрешенным только .ru и .su, а все остальные - идите лесом от греха подальше...
А что мешает домен ru привязать к сайту, который не в России?
Для варианта со своим сервером физлица (или своей компании в РФ) или аутсорсным сервером (хоть gsuite хоть protonmail) это не так уж и плохо… если проверка именно на домен в адресе почты.
Сколько там домен стоит? Купить и повесить алиас.
Если конечно не стоит задачи жестко скрыть регистрационные данные домена (есть у меня сомнение что private whois на .ru реально работает при запросе спецслужб РФ)
Проблема в том, что пока не прописано что они имели ввиду — могут например начаться приколы с проверкой dns-имени mx'ов или с проверкой что адреса mx'ов согласно какой то из geoip-баз — в России(а базы эти не всегда корректны, не всегда источники данных можно интерпретировать строго однозначно… и даже если IP формально в России — это НЕ значит что физически сервер с ним — в России)
Ну и — как с Passkeys то? там домен e-mail еще ничего не гарантирует.
А что, чей-то почтовый сервер обеспечивает авторизацию пользователей сайтов?
Да, почему нет?
Потому что это заявление примерно уровня "стиральная машина обеспечивает приготовление пищи".
Я некоторое количество лет великолепно жил, логинясь на buy.com и newegg.com с использованием юзернейма и пароля, емейл там был "постольку поскольку" — на него, конечно, было удобно получать распечатки заказов, но он не был нужен от слова совсем, распечатки заказов можно было смотреть в аккаунте, то есть, прости госсди, "личном кабинете". Но потом какая-то светлая голова решила "а зачем нам два Берлиоза", вместо логина стали использовать емейл (наверно, потому что хомячки не способны удерживать в одной голове такое ужасное количество информации), и всё заверте..
То есть если владельцем системы является не гражданин РФ, а юридическое лицо (пусть и российское), то пользоваться такой системой по букве закона нельзя.
То есть если владельцем системы является не гражданин РФ, а юридическое лицо (пусть и российское), то пользоваться такой системой по букве закона нельзя.
Ох уж мне эти миллениалы, attention span не позволяет даже предложение до конца дочитать:
владельцем которой является гражданин РФ, не имеющий гражданства другого
государства, или российское юрлицо с иностранным владением менее 50%.
вы все смеетесь... а смеяться будут над вами, глядя на тот, как вы будете сначала бегать и доказывать, а потом бросите все и зарегистрируетесь сами удобным для органов образом заплатив всевозможные услуги и пошлины. суть всех этих странных инициатив в том, что проблемы и издержки из-за неточности будут не у регулятора, а у вас
с пользователями то всё понятно, что делать владельцам сайтов? Какие емейлы принимать в качестве "правильных", а какие заворачивать, чтобы не нарваться на штрафы?
Проблемы будут еще и у сайтов которые это будут реализовывать и их техподдержки.
Да, может кончится тем что фактически будет "заходите только с mail.ru потому что это закон" но могут найтись и желающие в суд подать на это требование.
А считается отечественной почтой почта на собственном серваке?
У меня тоже возник вопрос как сервисы будут детектить? Прямо mx пропинговывать в моменте и определять локацию? Например у меня домен личный в зоне ру, он был к гуглопочте привязан, потом к мейл перевязал чтобы от санкций спастись, разрешат ли мне с такого неизвестного домена регистрироваться или у них будет маска типа собака мейл, яндекс и никаких левых сервисов.
иную информсистему, обеспечивающую авторизацию пользователей сайтов и владельцем которой является гражданин РФ, не имеющий гражданства другого государства, или российское юрлицо с иностранным владением менее 50%.
Представитель Госдумы пояснил СМИ, что под «иной информсистемой» подразумеваются российские сервисы, например «Вконтакте» или почта типа Mail[.]ru
В России компания зарегистрирована как ООО «ВК», которая через ООО «Компания ВК» на 99,99 % принадлежит «MGL Mail.ru Equity Limited» (Лимасол, Кипр).
В каком месте это они стали российскими сервисами? Или прокладка очищает компанию от "иностранности"?
Это решение касается только граждан РФ или иностранцев тоже? Можно ли будет иностранцу регистрироваться на российских сервисах, используя свою иностранную почту, или теперь будет как в Китае?
А зачем иностранцу регистрироваться на российских сервисах ?
Предположу, что иностранцам с ВНЖ могут требоваться доступы в какие-то российские сервисы. Например, если он открыл ИП и требуются всякие налоговые кабинеты и другое.
Ну так вот он получает намек, то здесь вам не тут.
доступы в какие-то российские сервисы
всякие налоговые кабинеты и другое
Вот представляете, всё точно так же, как и во многих других странах - просто приобретается местный номер телефона.)
просто приобретается местный номер телефона
Кстати, тот ещё квест, если у вас нет местного паспорта. Настолько сложный, что пришлось читерить. Так что мой номер телефона, ВНЕЗАПНО, по документам вовсе не мой.
ВНЕЗАПНО, не все иностранцы из воздуха берутся. Я, например, на mail.ru зарегался году так в 1990. А потом стал иностранцем.
mail.ru whois information
created: 1997-09-27T14:33:26Z
В 1990-м России, как государства не было. Частных фирм не было. А домент mail.ru был, значит.
Вот сейчас проверил ящик, чтобы уж точно не соврать. Самое старое письмо, которое сохранилось на сервере, датировано январём 2005 года. Но оно абсолютно точно не самое первое. Всё более раннее скачивалось на локальную машину по POP3 и давно ушло на архивный диск, который сейчас подключать и разгребать в лом. Но 100% точно знаю, что мейлру завёл до эмиграции, а эмигрировал я под лебединую песнь мухожука.
Вы настолько старый, что 90-й и 2000-й для вас примерно одинаково?
А Вы прямо так сразу вспомните, что происходило с Вами 25 лет (и более) лет назад?
Одна из основных моих реперных точек — мухожук. Его я абсолютно точно лично наблюдал по телевизору в России. Мы ещё волновались: а не будет ли под шумок ещё одного путча, как мы это уже пережили один раз.
Дефолт 98-го - тоже реперная точка хоть куда. И я точно помню, что первый модем купил как раз весной того же года, с долларом по 6 рублей. А карточки MTU 5 у.е. покупал уже за 150)
Вот вы напомнили. У меня они где-то в гараже остались, вместе с ночными безлимитными с 2 до 6 утра. Затем они не адсл перешли. И кажется переименовали компанию.
Думал на память оставлю. В итоге оставил все, вместе с домом и прочим хламом. Даже архивы с фотками не забрал.
Со временем понимаешь, что никакого смысла цепляться за прошлое нет и все эти терабайты информации интересны только в переделенном моменте.
Между 2005 и 1990 в части Рунета - пропасть. В 2005 году доступ в Интернет был у любого, кому он был нужен, в 1990 - Интернета просто не было в России. Более-менее доступный Интернет появился в Москве году так в 1995, к концу 90-х уже было некоторое количество людей, превышающее статпогрешность, которые понимали, зачем он им нужен.
Разделители
Регулярно в отпуске натыкаюсь на таких мудрых людей, которые подумали - а зачем иностранцу регистрироваться на нашем сервисе продажи билетов/оплаты вайфая/заказа еды и прочее, прочее. Спасибо им, мудрецам. И вам спасибо за интересный вопрос.
Иностранцы смогут и дальше регистрироваться с любой почты.
"Важный нюанс. Поправки будут касаться только внутреннего российского поля и пользователей, которые находятся в России, объясняет Хинштейн:
- Если пользователь заходит на тот же маркетплейс, например, из Турции, на него эти правила не распространяются. И не важно, россиянин он, турок или болгарин. А если, например, болгарин в России регистрируется на сайте, он должен делать это по российским законам"
И что "в Китае"? Там иностранцы без проблем на Youku регистрируются, например, если находят, куда нажимать.
И номер на +7 можно выбрать.
Если пользователь заходит на тот же маркетплейс, например, из Турции, на него эти правила не распространяются.
А россиянин не может заходить из Анкары или турок не может заходить из Москвы? Есть такие слова — "туризм" и "командировка". Ну и волшебное слово VPN, конечно...
зато в QQ/WeChat'е фиг зарегаешься, даже если захочешь.
Так теперь нужно регистрироваться только через VPN? А те кто не хочет, может завести аккаунт вида с07b3baa-b605-45fe-8db7-b09e2de45433@mail.ru и настроить переадресацию на свою not ru почту. Общаться в гос органы ведь пока ещё не запрещено с not ru почты?
К органам обращаются с ГосУслуг довольно давно. Желательно иметь двухфакторку на оных.
Это авторов закона может устроить, ну пока не начнет массово использоватся шифрование (тот же Facebook умеет шифровать сообщения ключом получателя — внятная инструкция есть например на https://proton.me/support/using-protonmail-with-facebook-pgp)
И эта схема некоторым способам использования e-mail — мешает. Например использовать уникальный адрес для каждого сайта — становится сложнее.
Странно, что до сих pgp не настолько массово используется.
Если кратко — там все плохо с управлением ключами.
Вот есть у меня допустим ваш e-mail адрес (и все). Как мне достать открытый ключ pgp? универсальное и работающе везде решение пожалуйста. (нет, http://pgp.mit.edu/ это не ответ, как и keys.openpgp.org, и wkad — тоже)
С web-клиентами тоже что-то делать надо, опять же Mailvelope это про один конкретный случай.
И это далеко не все пробемы. Но хоть что-то есть
Как мне достать открытый ключ pgp?
Достаточно обменяться открытыми ключами по email и дальше их использовать и проверять подписи.
Не достаточно.
Что если переписку к переписке нашей имеет доступм товарищ мл.лт Мэллори (и у нее, в отличии от сержанта Евы — есть возможность подменять сообщения и подсунуть свои ключи нам обоим. Привет MITM-атака).
Нужен способ проверки ключей, который работает при скомпроментированном канале.
Нет, я знаю, что есть S/MIME с подписями CA и даже знаю где бесплатно получить сертификаты на свои адреса но речь то про pgp.
Нужен способ проверки ключей, который работает при скомпроментированном канале.
Есть такой способ (пока ещё), называется "телефон". Берёте отпечаток ключа (fingerprint), созваниваетесь с корреспондентом, читаете ему первую половину отпечатка, он Вам читает вторую, оба убеждаетесь, что всё совпало. И так необходимое количество раз.
Для этого способа надо откуда то знать номер этого телефона. Причем получить хотя бы по независимому каналу.
Для случая общения с develmax — откуда я его узнаю?
Вообще, комментарий был скорее в ту тему что с keyserver'ами бардак, что wkad /wkd (в самом первом приближении — возможность для почтового сервера отдавать ключи через dns и клиент знающий e-mail может их получить а DNS можно защищить DNSSEC'ом) мало где используется и так далее.
Не дойдет. 90% госорганов при формировании обращения информируют о том, что почта должна быть российской, иначе они проигнорируют обращение.
Если очень надо, могу даже поискать скрины.
Не волнуйтесь, проигнорировать обращение они могут по миллиону всевозможных причин. Например, мне архив отказался давать ответ на вопрос "а сколько у вас будет стоить копия документа", на основании того, что я отказываюсь незнакомым людям называть имя-фамилию — ведь всем известно, что иначе ответить на этот вопрос ну никак нельзя.
Интересно, можно ли в таком случае обойти запрет каким нибудь аналогом галочки "Я не гражданин РФ, регистрируюсь через какую хочу почту"? Как то проверять гражданство сайты же не должны.
Я на доуине пытаюсь регулярно, где-то раз в месяц зарегистрироваться, со своим российским номером, безуспешно пока.
Непонятно, распространяется ли требование на домашние сайты с прикрученным форумом? Как админу хоме-хоста настраивать свой форум, чтобы тот волшебным образом вычислял, что майлрушный mail.ua - это разрешенный домен, а film.ua - запрещенный?
Как админу хоме-хоста настраивать свой форум
Просто не надо ничего настраивать и заниматься этой чушью. У меня есть форум в зоне .org, большая часть аудитории которого из России, и я не собираюсь даже тратить своё время, потому что заведомо известно, что движок такие фокусы не поддерживает, а вероятность того, что кто-то напишет плагин для реализации этой фичи, где-то в районе нуля.
Да тут даже при желании ничего не написать. Это как-то нужно определить, что человек не иностранец и только для него запретить регистрацию почты с других стран. Да ещё и как-то определить, откуда эта почта (у меня может быть свой домен с почтой в РФ, как определить, что она в РФ?). Закон - полный бред от людей, которые вообще не понимают, как это работает. Работать в текущем виде это не будет НИКАК.
Тут уже предполагали рабочий (с точки зрения происходящего и менталитета исполнителей) вариант: вы гражданин РФ, проживаете в РФ, вам принадлежит некий сайт с регистрацией? Некий активист регистрируется у вас с иностранной почты, и если вы его регистрируете, то "гражданин, пройдёмте". В таком виде все будет работать. Нужные люди будут делать "палки", кого надо - прикроют, кого надо - нет. На здравый смысл надежды нет
вам принадлежит некий сайт с регистрацией? Некий активист регистрируется у вас с иностранной почты
А мой сайт не требует почты при регистрации (как, например, http://zhurnal.lib.ru, или ICQ 1996 года)! Шах и мат, пройдёмщики!
А это не важно, что вы не спрашиваете почту сейчас. Если на сайте есть авторизация — то по новым правилам "владелец… обязан проводить её одним из следующих способов".
обязан проводить её одним из следующих способов
Ссылочку на текст — в студию, пожалуйста (в статье ссылки указывают на что угодно, но не на то).
https://sozd.duma.gov.ru/download/2CF97FEF-3748-4B6B-9881-EFE465FD1AD9
Но вообще, картинка в статье — это как раз критичное место нового законопроекта.
Ну, во-первых, в статье там только пара страниц из всего документа. А, как известно, правильная обрезка — она много чего изменить может. Там, как всегда, много интересных side cases — в частности, "...в случае..." и "...на его..."
P.S. Текст 2.doc — енто самое правительство реально хочет, чтобы я Микрософту забашлял, чтобы закон прочитать?.. PDF оно, я так понимаю, не обучено?
P.S. Вот кстати интересно: а что такое "его емейл" или "его номер телефона"? В законе определение принадлежности номера есть? А то опсосы (и прочие мейлру) могут запросто сделать раз — и он ужи не "мои".
А мой сайт не требует почты при регистрации
А это что такое, ааа?
http://zhurnal.lib.ru/cgi-bin/login
E-mail (Не публикуется. На него высылается забытый пароль)
«Поправка направлена на защиту персональных данных россиян — часто именно регистрация через иностранные сервисы становится брешью, через которые персональные данные попадают в открытый доступ либо крадутся киберпреступниками», — пояснил Хинштейн.
Где можно ознакомиться с исследованием или обсуждением специалистами, насколько часто?
Насколько я помню, при регистрации с использованием почты, все, что передаетяс большинством сервисов - это письмо с подтверждением. Какие персональные данные при этом можно украсть - непонятно. Еще почта может использоваться для сброса пароля. Но сброс пароля - это не регистрация. Кроме того, решительно неясно - в большинстве сервисом можно зарегистрироваться с одним почтовым ящиком, а потом поменять на другой. Это же не регистрация?
Служба безопасности сбербанка или прокурор вам звонили? Так вот, это гугол поганый данные слил!
Закон настолько размытый (сознательно), что ни у кого ни на какой стороне нет ответов на вопросы выше. Ни у депутатов, ни у компаний, которым как то придется это исполнять. Исполнять каждый будет по своему, в меру дотошности пиэма и юристов на проекте. Преследовать за неисполнение независимо от этого будут ситуативно по необходимости.
Это уже описывалось в Атлант расправил плечи.
Запреты настолько размыты, невыполнимы, всеобъемлющие и их так много, что любой человек автоматически нарушает какой-то из них. При этом человек даже перестает понимать нарушает он что-то или нет и начинает считать себя виноватым по дефолту и старается не отсвечивать, чтобы государство не обратило на него внимание.
Если государству человек не нужен, то пусть ходит и нарушает законы. А если человек интересен государству, то вот, пожалуйста, куча законов, которые человек нарушал и делай с ним все что хочешь. И все в рамках закона.
Как говорят тут некоторые, теперь если очень будет нужно, то будет повод побеседовать с владельцем ресурса в уютном кабинете. И чего-нить отжать полезного. Под шумок, новой волны все позапрещать, в целях безопасности конечно,на это закон и направлен.
Меня убивает формулировка "...а данные изменения направлены на ограничение «использования для авторизации российских пользователей на информационных ресурсах, владельцами которых являются российские граждане и организации, иностранных систем, обеспечивающих такую авторизацию»...."
Похоже, что пытались убрать "авторизацию через Google", но получилось как всегда.
Если владельцы сайтов должны будут следить за соблюдением этого закона, то я даже не знаю, что сказать...
" «Поправка направлена на защиту персональных данных россиян — часто именно регистрация через иностранные сервисы становится брешью, через которые персональные данные попадают в открытый доступ либо крадутся киберпреступниками», — пояснил Хинштейн. " а я думал это потому, что у нас по кибербезу в госорганах всё дырявое, а тут вон оно, что оказывается...
вместо того, чтобы сделать белый список телефонов для обзвонов по рекламе, а остальным запретить звонить или обеспечить защитой Телефонные номера, а то на раз два можно на человека симку получить и все его деньги куданибудь перевести и имущество продать
у меня вся почта на своих доменах. домены - в зонах ру и tech. если введут белые списки почтовиков, вроде mail.ru (а именно о таком подходе ходят слухи), я - в пролёте?
в разработке софт, который планирую зарелизить в конце года. там по-любому для клиентов нужна регистрация. мне теперь не ориентироваться иностранный рынок, иначе атата? это вообще не вредительство?
а если я на своем домене, где храню гит-репы, зарегистрируюсь по своему-же емейлу, который относится к тому же домену - это я вдвойне нарушаю, но как-то под-одеяльцем?
Админю интернет-магазин. Есть покупатели из разных стран.
Магазин "белый" - ИП, онлайн-касса, налоги.
Не понимаю, на нас этот закон распространяется? Иностранные покупатели должны заводить себе рушную почту перед заказом? )))
Или на продажи это не распространяется?
Или нужно отключить личный кабинет, чтобы не было "регистрации" как таковой?
Бред какой-то...
Просто не используйте почту для регистрации (то есть как идентификатор пользователя).
Это все неважные детали, раньше было эмпирическое правило "заработай первый миллион чтобы к тебе пришли", сейчас, наверное, какая-то другая цифра с учётом инфляции. Что вы там в личном кабинете отключаете, этих ребят интересует в последнюю очередь.
А зачем вам почта для регистрации? Логин-пароль достаточно
Вообще что такое «информсистема, обеспечивающую авторизацию пользователей сайтов»? Если сам сайт предоставляет возможность завести на нём учётную запись с именем и паролем, и потом входить с этим именем и паролем — это «информсистема, обеспечивающая авторизацию пользователей сайтов», «владельцем которой является гражданин РФ, не имеющий гражданства другого государства, или российское юрлицо с иностранным владением менее 50%» (второе утверждение с большой вероятностью будет истинным, поскольку данный закон относится только к таким сайтам)? Если да — получается, что запрещается главным образом кнопка «Войти через Google/Apple/…», а локальные учётные записи, поддерживаемые средствами самого сайта, по-прежнему разрешены.
Правда, при таком прочтении остаётся вопрос, допустимо ли использование «вражеских» адресов электронной почты для таких операций, как восстановление пароля, или же этот механизм восстановления пароля придётся ликвидировать. Ну и капча при регистрации, видимо, тоже должна будет использоваться исключительно отечественная.
Если прям строго до буквы вчитываться - да, вы правы. Обеспечивает авторизацию самописная база логинов-паролей (даже вообще без мэйлов в каком-то виде), которая хостится в РФ, висит на домене .ru/.рф, хост и домен арендуются гражданином РФ - номинально требования соблюдены.
Все чудеса как всегда в интерпретациях.
Это запрет входа через OAuth ?
Раньше у меня были аккаунты на всех возможных порталах. Почта Рамблер. Mail.ru. Yandex. ICQ. Vk.
Но ими стало бессмысленно пользоваться. Ничего в них удобного или иновационного, вылизанного до идеала оптимизации нет.
Отпал Mail.ru со всеми его сервисами, отпал Вк, уже даже для сообщений не используется.
Давным давно отпала аська. Аську убил Скайп, а Скайп был убит Viber`ом.
Только Телеграм относительно недавно установил, но к нему тоже определённый уровень недоверия.
Не уверен, что российскими сервисами удобно или интересно пользоваться. Чисто моё ИМХО.
Может, со временем это изменится.
ПС. Фейсбук и Инстаграмм для меня тоже отстой. Но людям, вижу, нравится. Используют для бизнеса.
Аську убил Скайп, а Скайп был убит Viber`ом.
... а ведь начиналось всё с Авраама и Исаака!
с фидонета?
Интернет, ЕМНИП всё-таки не убил Фидонета! Хотя очень старался.
Кстати…
А как интересно это должно работать в случае фидонета?
Сообщение netmail'ом или пост в эхоконференцию отправить можно. А вот в авторизацию e-mail прикрутить ну просто никак насколько помню. Тем более никак не прикрутить госуслуги. Номера телефонов в нодлитсте раньше — были есть (и по стандартам должны быть хотя не все соблюдали даже раньше) но это не сотовые телефоны и смс не получишь + есть ж еще и поинты но содержимое поинтлиста вообще не контролируется (и ситуация когда там вообще кошки и киборги — нормальное явление если сисопа ноды это устраивает).
У меня чуть ли не с начала нулевых есть аккаунт Яндекса. Даже не ради почты заводил, если правильно помню. Но как знал: решил, что нечего Госуслугам знать мой основной мэйл, решил там указать именно этот, Яндексовый. И так и продолжил: все сервисы, которые и так можно легко и непринуждённо со мной связать (банки, российские интернет-магазины, работодатели) - на Яндексе. Остальное - на gmail.
Яндекс мне с недавнего времени запрещает логиниться. Я знаю логин и пароль, но они требуют ответ на вопрос, который я 20 лет назад давал. Хотя все эти вопросы для восстановления пвроля нужны, чего мне не надо.
Вот в тему нечего знать… — с <gorod_name>@information-region.ru идет рассылка
на старый e-mail указанный в госуслугах.
c подписью Управление МВД России по <область_name> области
(содержимое выглядит логичным)
и с комментарием что рассылка потому что якобы мной было дано согласие на za.gorodsreda.ru вот только я не помню такого cогласия а если бы оно было — e-mail был бы дан другой.
Кто там говорил что утечек с госуслуг не бывает? :), да и действуют прямо как типичные спамеры указывая что якобы было дано согласие. На самих госуслугах в управлении разрешениями на доступ к персональным данным никакого za.gorodsreda.ru нет конечно.
Господа, вы рассуждаете о политическом/юридическом явлении в технической точки зрения. Попробуйте прочитать закон (или этот пост) с точки зрения человека, знающего об интернете только то, что там есть Запрещённограм, Вконтакте, Яндекс, порно и даркнет. В частности, попробуйте подумать не о том, что можно, а о том, чего нельзя, а именно:
зарегистрироваться с помощью электронных почтовых адресов иностранных сервисов будет нельзя
Простой пример использования:
Портал бахр.ру публикует новость о том, что Рейган - дурак.
Берём двух понятых, при них осуществляем контрольную
закупкурегистрацию на портале бахр.ру через почту gmail.com.Понятые под видеофиксацией подтверждают, что в настоящий момент они находятся в России (из окна вид на Кремль), и что регистраций на портале проведена успешно.
Вежливые люди с флешкой приходят в гости к владельцу портала бахр.ру.
Сайт бахр.ру убирает новость о том, что Рейган - дурак, и делает вид, что её никогда не было.
Это, конечно, если владелец портала нарушил первое правило ведения бизнеса в России. Но сколько их таких... нарушителей...
Думаю все будет проще. При регистрации будет селект с выбором страны, и в зависимости от выбора будут разные варианты регистрации. Это как сейчас с плашкой "вам уже есть 18 лет?" или "Вы принимаете лицензионное соглашение".
Телеграм-2.
Дипломатия - это эзопов язык, и всё государство, причём любое - тоже. Есть нечто, с ним надо что-то сделать, потому, что так надо, но об этом нельзя говорить, значит, объявляем о недостатке демократии, просьбах трудящихся или врагах народа, ведьмах, евреях, вписать нужное. Задача государства - удержать стабильность, остаться на плаву. Для этого пытаются не допустить неизвестного массового общения, именно для этого банили телеграм, а не от боязни террористов: ради приличного теракта вроде 9/11 можно и персональный одноразовый месенджер написать/заказать, товарищ майор и не поймёт, что это за байты пересылаются. А вот массовое неподконтрольное общение может накрутить население и до выхода на улицы, а значит, надо уметь это общение пресекать - вот на телеграме и тренировались. Какой сценарий задейсвования импортых почт для шатания режима - пока непонятно, наверно, опять тренируются.
"За что/против чего" митинговать - совершенно неважно, главное - шатнуть режым. Это тоже эзопов метод: "Свобода, равенство и братство" = гильотина, и для активистов тоже. "Долой самодержавие" = расстрелы, репрессии, 37й. "Долой путчистов" = развал. И трупы, трупы. Бунтовали не за казни, а за всё хорошее, агитаторы так хорошо и красиво рассказывали, а получается всегда, как всегда. А жить на шатнутом режиме - хреново, это я изнутри вижу. И 91-й застал, и сейчас.
Прочитал поправки и вот что понял, как мне кажется правильно.
В законе ничего не сказано про регистрацию пользователя, и тем более про электронную почту.
По закону пользователя находящегося на территории РФ можно авторизовать одним из способов:
Через мобильный телефон, но для этого нужно заключить договор на идентификацию пользователей с оператором мобильной связи.
Через систему "Единая система идентификации и аутентификации" (Госуслуги).
Через систему "Единая биометрическая система".
Через систему, которая принадлежит российскому гражданину или российской организации.
Большинство сайтов авторизуют пользователей через свою базу. И если эта база и ПО находятся на территории РФ и принадлежат российской организации или физлицу, то это подпадает под 4-й способ.
Эти поправки делают запрещенными авторизацию через иностранных OAuth провайдеров. Т.е. придется для пользователей с территории РФ блокировать на сайте кнопки "Войти через Google" и другие подобные.
Мне не понятна подмена терминов. В законе видел только термин "авторизация", а термин "регистрация" не заметил.
Технически "идентификация", "аутентификация", "авторизация", "регистрация" - это разные понятия, каждый со своим смыслом. Что в законе подразумевается под "авторизацией" не ясно, вряд ли техническое значение этого термина, скорее обывательское. Без расшифровки этого термина отдельными правовыми актами нет предмета обсуждения, можно только предполагать.
Интуитивно чувствую, что законодатели подразумевали всё же не "авторизацию", а регистрацию с идентификацией (подтвержденной через аутентификацию) через сторонние "правильные" сервисы. Только в таком случае я вижу какую-то логику и возможность реального исполнения закона. Правда, возможность реального исполнения вижу только при наличии законодательно утвержденного белого списка "правильных" иных сервисов. Определить российское происхождение "иных сервисов авторизации" (и выполнение ими требований закона) не представляется возможным без законодательного белого списка. Первые три варианта "авторизации" вообще не рассматриваю, т. к. они похоже недоступны для простых сайтов.
В итоге вижу следующую предполагаемую схему (со стороны сайта):
При регистрации сайт в обязательном порядке запрашивает email, проверяет его домен по белому списку (идентификация через сторонний сервис), осуществляет подтверждение через email (аутентификация через сторонний сервис), создает аккаунт пользователя на сайте (регистрация), далее осуществляет вход по этим данным с предоставлением определенного набора прав к определенным ресурсам (авторизация... но не через сторонний сервис, а свой).
Какой там фактически используется почтовый железный сервер (где находится, через что проксируется и пр.) значения уже не имеет, т.к. главное - почтовый адрес подтвержден, а завести почтовый ящик на "правильных" сервисах можно только при предоставлении подтвержденного телефонного номера, т.е. будет привязка к конкретному человеку.
Увы, но похоже, что действительно сайтам при регистрации придется ограничиться только почтовыми ящиками с доменами из определенного белого списка, а остальных отфутболивать. Это единственное техническое решение, которое как я вижу, можно фактически реализовать.
Правда возникает еще один вопрос. Если какой-то сервис будет исключен из белого списка, то что делать с ранее зарегистрировавшимися через этот сервис пользователями?
При этом А. Хинштейн сказал, что "кто зарегистрировался ранее, сохраняют свой доступ". Но если речь про авторизацию (процесс подтверждения прав пользователя по логину и паролю), то если за пользователем в системе уже существует запись о том, что логин это иностранная почта, то без актуализации/изменения регистрационных данных пользователя нельзя будет по закону его авторизовать.
В итоге если пользователь на сайт всегда заходил через Google или GitHub, то с 01 декабря 2023 года его нельзя будет авторизовать.
Но во всех СМИ пишут именно про запрет на "регистрацию".
российский сайт который затребует у меня какую-ту российскую почту пойдëт на три буквы. в чëрный список сразу его.
В России с 1 декабря вводится запрет на регистрацию в рунете с иностранной электронной почты