Да, согласен с вами. Как быть и поступать не российским владельцам сайтов, которые рассчитаны на российскую аудиторию? Это очень хороший вопрос.
Исходя из особенностей правоприменения, кажется, что всё же следует действовать аккуратнее, то есть следовать законам РФ пусть даже владелец не относится к российской юрисдикции. Если ты ориентирован на пользователей из РФ, значит, работай строго по ее нормам.
Предлагаю рассмотреть конкретный пример с Habr. Как можно заметить, форма логина мало того что предлагает авторизацию через Google, но и через Facebook, которая, как известно, вся такая-растакая грешная и пр. Как же такое возможно?
Как вы полагаете, что делать тем сайтам, которые рассчитаны главным образом на аудиторию пользователей из РФ, но владельцы этих сайтов гражданами РФ или организациями РФ не являются?
Сайты могут быть не только в доменной зоне .RU, но и любой иной. Для пущего понимания: такие сайты соблюдают положения о приземлении данных, то есть априори хостятся на серверах в РФ.
Минуточку, вам прислали ссылку для восстановления пароля на сайте. Какие ПД здесь мы куда-то передали, помимо тех, которые вы сами предоставили провайдеру почты, когда регистрировались. Не передёргивайте.
Хотя, да, законодательно мы все и всё нарушаем тотально и бесповоротно, причём каждый день.
Нет, восстановление доступа — это всего лишь информационное письмо, которое вас никак не идентифицирует. В письме — ссылка на форму обновления пароля. Ваши ФИО — это ваша забота, что вы там указывали внутри Gmail, когда регистрировались. Согласен, притянуто за уши. Но ещё раз: восстановление пароля или magic link на почту не имеет к авторизации вообще никакого отношения. Посему не волновайтесь.
Написано не просто отвратно, а умышленно непонятно. А вот попробуйте посмотреть вышеуказанный ГОСТ. Осознать разумом сию печаль возможным не представляется. Но нет иного способа понять, что же от нас всех хотят на этот раз.
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)
Единственный вопрос, который мы обсуждали выше, связан с понятием авторизации. Если корректно разобраться с определением этого термина, становится понятным, что речь никак не идет о запрете зарубежной почты в качестве идентификатора (логина). Исходя из этого, ваша публикация вводит в заблуждение. Ксения, ну право же, хватит педалировать собственные домыслы. Рекомендую изучить параллельную дискуссию здесь: https://habr.com/ru/news/1045528/.
Еще раз: под запрет попали только зарубежные системы авторизации. Простыми словами, кнопки а-ля “Войти через Google”. Для всего остального, что касается процедуры входа на сайт, ничего не поменялось.
Отправлять ссылку или код для восстановления пароля на зарубежную почту не запрещено.
Топикстартер безбожно наврала в духе “а мне так показалось”, причем не просто натянула сову на глобус, а накатала целую простыню откровенной ереси. Не разбираешься, не надо лезть и выдумывать. А если накосячила, признай ошибку и исправь. Нет, она будет до последнего упорствовать.
Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
Вот слова Горелкина: “Много вопросов (и от пользователей, и от журналистов) приходит по поводу использования электронной почты для входа на сайты. Существует ошибочное убеждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail. Конечно, на российские сервисы переезжать нужно (особенно госслужащим), но для чистоты отношений отмечу: закон не содержит требований к электронной почте, если она используется в качестве логина. Подробный разбор этой истории недавно сделали эксперты РОЦИТ”. (https://t.me/webstrangler/3008)
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)
Да, согласен с вами. Как быть и поступать не российским владельцам сайтов, которые рассчитаны на российскую аудиторию? Это очень хороший вопрос.
Исходя из особенностей правоприменения, кажется, что всё же следует действовать аккуратнее, то есть следовать законам РФ пусть даже владелец не относится к российской юрисдикции. Если ты ориентирован на пользователей из РФ, значит, работай строго по ее нормам.
Предлагаю рассмотреть конкретный пример с Habr. Как можно заметить, форма логина мало того что предлагает авторизацию через Google, но и через Facebook, которая, как известно, вся такая-растакая грешная и пр. Как же такое возможно?
Как вы полагаете, что делать тем сайтам, которые рассчитаны главным образом на аудиторию пользователей из РФ, но владельцы этих сайтов гражданами РФ или организациями РФ не являются?
Сайты могут быть не только в доменной зоне .RU, но и любой иной. Для пущего понимания: такие сайты соблюдают положения о приземлении данных, то есть априори хостятся на серверах в РФ.
Минуточку, вам прислали ссылку для восстановления пароля на сайте. Какие ПД здесь мы куда-то передали, помимо тех, которые вы сами предоставили провайдеру почты, когда регистрировались. Не передёргивайте.
Хотя, да, законодательно мы все и всё нарушаем тотально и бесповоротно, причём каждый день.
Заблокировать — это одно. А вот запретить, похоже, иное. Смеётся хорошо тот, кто смеётся последним. Так кто же?
Нет, восстановление доступа — это всего лишь информационное письмо, которое вас никак не идентифицирует. В письме — ссылка на форму обновления пароля. Ваши ФИО — это ваша забота, что вы там указывали внутри Gmail, когда регистрировались. Согласен, притянуто за уши. Но ещё раз: восстановление пароля или magic link на почту не имеет к авторизации вообще никакого отношения. Посему не волновайтесь.
Предположим, мы отключаем на сайте возможность восстановления пароля. Ну нет её, и всё тут.
Написано не просто отвратно, а умышленно непонятно. А вот попробуйте посмотреть вышеуказанный ГОСТ. Осознать разумом сию печаль возможным не представляется. Но нет иного способа понять, что же от нас всех хотят на этот раз.
Что ж, да будет coup de grâce.
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)
Единственный вопрос, который мы обсуждали выше, связан с понятием авторизации. Если корректно разобраться с определением этого термина, становится понятным, что речь никак не идет о запрете зарубежной почты в качестве идентификатора (логина). Исходя из этого, ваша публикация вводит в заблуждение. Ксения, ну право же, хватит педалировать собственные домыслы. Рекомендую изучить параллельную дискуссию здесь: https://habr.com/ru/news/1045528/.
Еще раз: под запрет попали только зарубежные системы авторизации. Простыми словами, кнопки а-ля “Войти через Google”. Для всего остального, что касается процедуры входа на сайт, ничего не поменялось.
Отправлять ссылку или код для восстановления пароля на зарубежную почту не запрещено.
Топикстартер безбожно наврала в духе “а мне так показалось”, причем не просто натянула сову на глобус, а накатала целую простыню откровенной ереси. Не разбираешься, не надо лезть и выдумывать. А если накосячила, признай ошибку и исправь. Нет, она будет до последнего упорствовать.
Нет, вы ничего не нарушите. Ибо процесс авторизации (сверки пары логин-пароль) осуществляется на сайте, а не на серверах Google.
Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
Вот слова Горелкина: “Много вопросов (и от пользователей, и от журналистов) приходит по поводу использования электронной почты для входа на сайты. Существует ошибочное убеждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail. Конечно, на российские сервисы переезжать нужно (особенно госслужащим), но для чистоты отношений отмечу: закон не содержит требований к электронной почте, если она используется в качестве логина. Подробный разбор этой истории недавно сделали эксперты РОЦИТ”. (https://t.me/webstrangler/3008)
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)