Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 120
К хабру это относится?
Да, непонятно, какие сайты под это подпадают. В зоне .ru? Да и нафиг оно надо, есть триллион других доменных зон. А с осени сайт в .ru вообще можно будет иметь только по паспорту.
Да много чего не понятно. Что делать с пользователями которые уже зарегистрировались через тот же gmail и у которых нет других факторов для той же смены почты. Те же гос услуги позволяли цеплять себя к gmail почте. Тот же вк
А ещё интересно где у товарища Горелкина на сайте политика обработки перс данных и подал ли он уведомление в РКН о трансграничной передаче данных, так как использует у себя гугл аналитику и рекапчу.
Именно товарищ Горелкин кстати и продвигал закон о перс данных
Сегодня Госдума в первом чтении приняла наши предложения по совершенствованию механизмов сбора персональных данных. Наш законопроект устанавливает четкие правила: согласие на обработку персональных данных должно всегда оформляться как отдельный документ, а компании не могут ограничивать доступ потребителя к информации о товарах или услугах, если он не хочет предоставлять информацию о себе.
Антон Горелкин
Ещё раз. Человек продвигающий закон о перс данных сам же его не соблюдает. При этом ссылка на этот сайт у него указана в соц сетях, это его сайт. Казалось бы что дно уже достигнуто, но снизу постучался товарищ Горелкин
Так у господина Горелкина есть лицензия на то чтобы размещать JS от recatcha и GA на своем сайте, а персональные данные он со совего компа никуда и не передает.
А у вас, гражданин РФ, есть лицензия на то чтобы передавать свои персональные данные с сайта Горелкина на сервисы ReCatcha и GA?
Всё, вроде как нашли того, кто не соблюдает закон о перс данных, пакуйте!
Это другое, понимать надо! Товарищ майор лично проверяет каждый байт, улетающий на сервера гугла с сайта депутата, так что все абсолютно безопасно
товарищ Горелкин
гражданин Горелкин
Под это подпадают сайты, которые станут неугодны власти и ее слугам. Как дети малые…
Да, у хабра есть юрлицо в рф
Вот слова Горелкина: “Много вопросов (и от пользователей, и от журналистов) приходит по поводу использования электронной почты для входа на сайты. Существует ошибочное убеждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail. Конечно, на российские сервисы переезжать нужно (особенно госслужащим), но для чистоты отношений отмечу: закон не содержит требований к электронной почте, если она используется в качестве логина. Подробный разбор этой истории недавно сделали эксперты РОЦИТ”. (https://t.me/webstrangler/3008)
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)
Сходил на сайт госдумы, увидел тексты. Вот что предлагалось внести во втором чтении:
Внести в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448) следующие изменения:
1) в статье 8:
а) пункт 4 части 10 дополнить предложением следующего содержания: «Правительством Российской Федерации могут быть установлены случаи, в которых при осуществлении в соответствии с настоящим пунктом авторизации с использованием адреса электронной почты такой адрес должен быть создан с использованием доменных имен, входящих в группы доменных имен, составляющих российскую национальную доменную зону.»;
то есть прямой запрет на иностранную почту, если захочется.
Но эту поправку не приняли и она отсутствует в тексте закона. То есть получается все осталось как и раньше, только добавились штрафы.
Получается логин через иностранную почту возможен, если ты используешь свою систему авторизации и ты гражданин/юр лицо РФ
Принадлежность почтового адреса очень сложно установить, так как любой человек на земле может завести себе уникальный адрес типа vasya@myaddress.club при этом он может разместить почтовый сервер в любой стране и даже у себя дома.
Речь в поправке шла о принадлежности почты к "доменным именам, входящих в группы доменных имен, составляющих российскую национальную доменную зону".
А это согласно РКН:
а) доменные имена, входящие в домен первого уровня .RU;
б) доменные имена, входящие в домен первого уровня .РФ;
в) доменные имена, входящие в домен первого уровня .SU;
г) доменные имена, входящие в домен первого уровня, находящийся под управлением российского юридического лица.
То есть vasya может сделать как вы говорите, но легально будет только если он гражданин РФ.
Повторюсь, эти поправки не приняли. Все осталось как раньше
просто в заголовках СМИ сейчас везде "ШТРАФ ЗА ИНОСТРАННУЮ ПОЧТУ"
Но протокол передачи данных под названием E-mail не имеет географической принадлежности так же как и протоколы http(s) ssh ftp итп.
E-mail может себе позволить абсолютно любой человек на земле.
Например что подумают о правительстве если оно введет штрафы за иностранный HTTPS?
Полностью с вами согласен. Из-за этих заголовков и пришлось залезть в документы по уши, чтобы заранее понимать последствия.
Классическая система регистрации, где пользователь сам вводит логин, емайл, пароль, а потом подтверждает емайл кодом из письма. Такой сайт не будет оштрафован если пользователь введет почту gmail, proton итп?
Согласно текущей версии закона, если у вас самописная система регистрации и авторизации пользователя, ваш сервис и сайт принадлежат гражданину РФ/юр лицу РФ, вы базируетесь на хостинге в РФ, тогда, что используется в качестве логина - не имеет значения.
Не является юридической рекомендацией. но я для своего сайта исхожу именно из этой трактовки.
Буду рад, если кто-то сможет аргументированно опровергнуть.
запретить все адреса кроме .ru можно. Но только vasya@myaddress.ru вполне может быть иностранным гражданином и даже гражданином вражеского государства. И почтовые серверы для этого домена могут располагаться не в России, а где угодно, даже в Украине.
Я выше говорил, что e-mail это протокол передачи данных, а не географический объект.
Тот же самый gmail может захостить ваш произвольный домен на своих почтовых серверах. Это значит vasya@myaddress.ru может вполне оказаться почтой гугла.
Яндекс тоже предлагает хостинг почты для произвольных доменов. Это значит vasya@myaddress.COM vasya@myaddress.US vasya@myaddress.UA могут быть почтой яндекса.
План такой.
Поднимаем шорох, но запрет не вводим явно. СМД (средствам массовой дезинформации) даём комманду нагонять страху. Основная толпа переезжает на роспочту т.к. разъяснения им читать и вообще вникать лень. Отдельные индивиды кому очень неудобно пока сидят на старой.
-> вы находитесь здесь.
Вводим запрет и штрафы. Кто не успел влетает на бабки. Профит.
А если у сайта имеется зарубежная аудитория?
Для этого специально оставили пункт "другое". В этот список попадёт кто надо, и если захочется иметь иностранную аудиторию, нужно будет использовать эту сертифицированную авторизацию за тонны денег, потому что у них есть нужная бумажка.
Будет какой-нибудь сертифицированный форк Keycloak или дикое колхозное нечто, которое будет подключено напрямую к товарищу майору, где позволят использовать всё запрещённое, и номера телефонов из правильных стран.
В законе указано что это относится к авторизации пользователей, которые находятся на территории РФ. То есть к зарубежной аудитории это отношения не имеет, можно авторизовывать через что угодно.
А как отличить по почте, зарубежный пользователь или нет? Смотреть на страну айпишника? Ха-ха, ещё одна причина пользоваться КВН, чтобы иметь возможность нормально логиниться.
Так в законе вроде не прописаны методы определения стран, которые обязаны использовать владельцы ресурсов.
Достаточно ли использовать сервис GeoIP для определения страны пользователя или нужны какие-то иные методы?
Или может нужно смотреть на заголовки браузера, используется ли например российская локаль и т.д.
Так в законе вроде не прописаны методы определения
Вот поэтому и не указаны, чтобы была возможность "срубить 700 тысяч штрафа".
"Казна пустеет".
А нет российской локали - есть русскоязычная локаль и её могут использовать граждане, у которых гражданства РФ никогда не было.
а разве MaxMind предоставляет услуги GeoIP для .RU и .SU? Кажется там GeoLite в тыкву превратился для РФ с 7 июля прошлого года. IPLocate еще работает.
Звучит как очередной пакет санкций от госдумы для народа. А что будет с теми кто зареган на тех же госуслугах через "кибермошеннический" gmail, оштрафуют госуслуги, пользователя или аккаунт выпилят ? А если человек ведет свой бложик на WP, жумле и чем-то подобном и понятия не имеет обо всех этих премудростях, как ему делать авторизацию по номеру телефона или российские почты отсекая буржуйские. И пардон, а отечественные e-mail это как ? Почта на домене .org на российском сервере или почта .ru где-нить на европейском сервере на сколько отечественны ? А ещё сервер может быть в Европе, но у российской компании, как процент отечественности e-mail посчитать и какой необходим.
официальный ответ на это: "Вы правы, но казна пустеет, не до этих деталей сейчас, плати 700 тыс. штрафа и всё. Следующий!"
Не так давно приложение на телефоне ТНС Энерго, в котором оплачиваю электричество, примерно так и поступило - после обновы потребовало логин-пароль, несколько раз вводил, пока где-то увидел (весьма неявно, кстати), что импортная почта теперь - харам! К слову, регистрация на почту в зоне ру была далеко не безоблачной!///
Как они хотят определять, русский емейл или нет? Доменное имя в зонах ru/su ? Или сервер в РФ ?
Будет реестр разрешенных (белый список) sarcasm
Su кстати тоже прокаженная зона - или ru или рф
Речь про авторизацию через сервисы, не про логин в виде email и пароля.
То есть OAuth провайдер должен быть с юрлицом в РФ.
Запретить иностранный oauth это конечно мощный удар по мировому империализму, теперь то мы точно заживем в кибербезопасности))
Я так понимаю, что логика тут такая: 'злонамеренный поставщик OAuth может пустить в учетку российского гражданина кого-то не того, и нам этого не нужно."
Которая логика имеет некий смысл и OAuth как таковой через посторонний сервис во многих случаях делать не стоило бы. Не в контексте "российский сайт", а вообще. А существование кнопочки 'Войти через Гугл' объясняется исключительно тем, что пользователь ленивый и локальную учетку сервиса заводить не хочет, потому что пароль записывать итд. Надеюсь, распространение Passkeys это немного вылечит - там создание локальной учетки упрощено как только можно.
На самом деле перевод на внутренние сервисы нужен для получения централизованного управления. На каждый сайт сорм не поставишь, а на каждый почтовик в своей юрисдикции можно если выжать всю мелочь запретами.
Откуда вы думаете берутся консервы на хабре с упоротой риторикой?
Раньше эту функцию выполнял номер телефона, на котором они могут перехватывать смс.
Заживём не заживём, а партия свежих консерв в коментах обеспечена.
Какое то серьезное наказание
Очередной бесполезный бред, мешающий работать
Люди путают авторизацию и аутентификацию
XXX@yandex.ru - российский ХХХ@yandex.com - уже ахтунг?
А что с беларусами? Не пущать?
А как же союзное государство?
А с русскими во всем мире? Рвем связи и ограничиваем влияние страны?
Какие "гениальные" законы. Вражьи санкции не так сильно вредят как такое непродуманное творчество
«пользователей, находящихся на территории Российской Федерации»
То есть если ip российский, то извольте «авторизовываться» через соотвествующие средства. Остальные могут входить любым способом.
С каких пор почта привязана к IP? Как собрались определять?
С учетом традиций правоприменения - если вы, житель Швейцарии с gmail, с какого-то перепуга вдруг зайдете на сайт "Садо-огородо" через российский ВПН - сайт смогут законно оштрафовать.
Если тов.майор заметит.
Проверяется не ip почты, а ip адреса, с которого вы подключаетесь к сервису. Почта выступает в качестве логина.
мну вот любопытно если я в оферте пишу что "не собираю IP адреса пользователей" и не собираю, как мне отличить иностранцев?
Поясните пожалуйста человеку, который не очень хорошо понимает термины. правильно ли я понимаю что:
если я владелец сайта, мне НЕ запрещено чтобы пользователи регистрировались и использовали в качестве логина любую почту, включая иностранную. так как автризация производится моим сайтом.
если я владелец сайта, то мне запрещено давать на своём сайте пользователям кнопки "войти с гугл ид" или "войти с эппл айди".
речь же об этом, правильно?
Речь о том, чтобы ты заплатил 700к в казну.
Судя по формулировкам в законопроекте - да, об этом.
Что, login via GitHub тоже терпеть отрубать? :(
ПыСы, у passkey есть какие-то "провайдеры" за бугром? Или это чисто локальная история?
ПыСы, у passkey есть какие-то "провайдеры" за бугром? Или это чисто локальная история?
Сами по себе в процессе логина - локальная. Но синхронизируются в облако. (Ну, в одном из профилей использования - есть device bound, что этого не делают.)
Теоретически, в виде шифрованного контейнера с end-to-end шифрованием хранятся и Гугл/Яблоко их из этого контейнера вытащить не может, без разных логинов/пинов для расшифровки.
Но я так и не понял, как именно это устроено насколько это утверждение верно. Потому что ну ладно пароль, но пин из четырех цифр - как-то защитой не выглядит.
Ну и есть вариант (в зависимости от версии системы) использовать для них собственный парольный менеджер, где можно поставить нормальный длинный пароль на базу.
Цифровой пинкод обычно используется для извлечения нормального ключа внутри какой-то криптосистемы, которая внутрь себя никого не пускает.
внутри какой-то криптосистемы, которая внутрь себя никого не пускает.
Когда это криптосистема - это защищенное хранилище телефона, я механизм работы и схему доверия понимаю. Но вот берем новенький телефона, регистрируемся в учетку Гугла, он спрашивает PIN(очевидно, от другого телефона, иначе оно вообще смысла не имеет), я вижу в телефоне список Passkey-ев.
Что чем когда тут (рас)шифровалось? И что мешает на стороне Гугла все тоже самое проделать, взяв, ну для демонстрации 10000 телефонов (или эмуляторов) и введя каждый вариант PIN-а?
он спрашивает PIN(очевидно, от другого телефона
Никогда такого не видел.
Видел пин на авторизованное устройство. И то - вторым фактором.
Гипотетически гугл может протуннелить связь и сам стучаться в другой смартфон и ограничивать брутфорс. Но это было бы сомнительным решением.
Никогда такого не видел.
Ну вот из их уже давнего поста. (выделение курсивом мое)
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Т.е. как раз от другого телефона и спрашивают.
Именно так. Если вы сами аутентифицируете и авторизовываете пользователя с помощью логина и пароля - то вы сам себе сервис, и если вы в РФ - то соблюдаете требование автоматом. Какой логин - пофиг.
А вот если вы полагаетесь на внешний сервис через OAuth какой-нибудь - то выбор ваш невелик, только российские.
Вообще, этой идейке уже года два. И ещё тогда я этой фигнёй занимался (притом с подтверждением от юристов). Только раньше был просто запрет, а теперь к нему штраф прикрутили.
я этой фигнёй занимался (притом с подтверждением от юристов)
а есть каой-то опыт или официальные формулировки?
как простому провинциаьному сайту защищаться от нападок "вам нельзя гуглпочты у пользователей"?
Так, чтобы в виде переиспользуемых артефактов - не сохранилось. Была переписка с лигал отделом в формате "Вот новый закон, мы хотим заменить кнопки Apple и Google на Яндекс и ВК, логин с почтой-паролем оставить как есть, не фильтровать, соответствуем?" - и ответ "Да".
Но то была известная ИТ компания, так что шансы отбить наезд, буде такой случится, были высокие.
Как насчет сайтов на русском языке, но которые хостятся за рубежом, домен которых вне .ru зоны, и принадлежат иностранным лицам? Они вполне себе принадлежат рунету, но не являются российскими сайтами. Полагаю, требование закона на них не распространяется. На википедию, например.
Чтобы попадать под действие закона владельцем сайта должен быть гражданин РФ.
Или российское юрлицо.
Резидентам без гражданства, впрочем, тоже не советовал бы расслабляться.
А гражданам без резидентства? Я в России зс последние 20 лет находился в сумме меньше месяца, могу я на своём сайте в зоне ru использоаать Google oAuth?
Законы как правило действуют по принципу территориальности: где живёте, тем и подчиняетесь.
С другой стороны считается, что если сайт открывается на территории РФ, то он уже оказывает информационные услуги, а значит работает на территории, со всеми вытекающими. Вон, Гугл юрлицо закрыл, а ему до сих пор ***ллионы штрафов капают.
Так что если есть серьёзный план что-то подобное сделать - я бы с юристом пообщался, риски именно для своей ситуации сформулировал.
Т.е. эмигрировавший в США гражданин России, имеющий американский паспорт. Если он захочет создать сайт на русском языке в забугорном интернете, он обязан выполнять закон РФ иначе попадёт на штраф?
Но погодите. Если пользователь использует почту и свой пароль, то технически аутентификация проходит в моем сервисе. По идее под запрет попадают иностранные SSO/OAuth-провайдеры вроде Google и то если пользователь пришел с российского IP.
Или я не правильно понял?
Ну наших можно пресовать, а на китайские выкрутасы пользовательских соглашений с можно и положить Так хонор там вообще просто пыжит по полной а головка как есть
Только вот все перерегал на нормальную почту. Интересно а что они будут делать с уже существующими учетками
Потихоньку отрезают зарубежные инет связи, чтоб можно было включить рубильник, мне так кажется
Вот как вовремя яндекс ввел платную подписку для приёма почты через приложения)))
Всё для пользователей)
А если иностранец приехал в Россию и решил зайти на РУ сайт куда он регался через гугл, а кнопочки этой не будет (типа ты из России заходишь к нам на сайт, но увы по GEOIP определяет что ты из России, тогда надо регаться через местную почту)?
А если вход по произвольному логину (имени пользователя) и паролю? Обязательно должна быть привязана почта или телефон?
При регистрации на сайте пользователь указывает почту на которую высылается ссылка для восстановления пароля. То есть авторизация происходит по логин-паролю.
А как быть при восстановлении пароля если почта была указана гугловская? Является ли отправка ссылки на такую почту авторизацией?
Что-то я вообще уже ничего не понимаю. Открываю РБК и читаю:
Госдума приняла второй пакет поправок для борьбы с кибермошенниками
https://www.rbc.ru/quote/09/06/2026/6a269c2a9a7947d22f09f054
++++++++++++
Что убрали из закона
Из второй версии убрали ряд спорных инициатив, в том числе об обязательной привязке ИНН при открытии банковских счетов. Кроме того, не вошли такие меры, как:
требование регистрироваться на значимых интернет-ресурсах исключительно через российские почтовые сервисы;
обязательное подтверждение значимых действий через мессенджер Max вместо СМС;
++++++++++++++++++++++++++++++++++++++++
От куда новостники берут этот бред? Из всех новостных сайтов только Ведомости опубликовал ссылку на законопроект. Но там нет ничего ни про штрафы, ни про аутентификацию на зарубежные адреса...
Может я конечно плохо искал, но ИИ тоже не нашел ничего такого.
Это всё, что нужно знать о качестве современной журналистики.
Штрафы — это другой законопроект:
https://sozd.duma.gov.ru/bill/1069392-8
Вот допустим Вася пупкин вводит в регистрации логин ПетрЧайковский, номер телефона 212-85-06. Система дальше его его знает с такими данными. Кроме невозможности восстановить пароль, для входа в систему достаточно. вообще никакие сервисы не нужны. Ну каптча может, на картинке тыкать различать автобусы, автозаки, пазики. То есть никакой гарантии же, что Петр Это Петр, а Вася - Вася.
Специально завёл отдельный номер, на котором были зареганы только госуслуги и сбер. Никаких иностранных сервисов и почт. Всё равно мошенники да рекламщики звонили. Почему?
Чтобы совершить мошеннические и рекламные действия
Сбер постоянно взламывали. Утекали миллионы записей, не только ФИО и телефон, но и почта, адрес, карты, баланс. Последний случай был утечки через подрядчика call-центра в Волгограде https://www.rbc.ru/society/25/10/2019/5db2dc219a7947b4dae07e7f
И это был не первый и не последний случай.
Лично знаю пару случаев, как на абсолютно новую карту Сбер подключался левый Яндекс.Плюс в тот же день. Видимо менеджеры Сбера мутят.
Так как у меня простой блог, я просто выпилил любую регистрацию. Информацию и без этого можно читать. И да домен не в ру зоне.
С такими законами уже не понятно что вообще можно. Так что я перестраховался.
Вообще как я понял из последних новостей, так этот штраф будут платить те, кто не даст майору доигралесу информацию об этих самых "зарубежных мошенниках"
Правда каким образом сотни тысяч сайтов должны её предоставить - непонятно. Как обычно штраф за то, что ты есть. А как это все будет исполняться, предоставляться и контролироваться - это другой вопрос.
Правда каким образом сотни тысяч сайтов должны её предоставить - непонятно.
Понятно как. Они идут к тому, чтобы сделать себе доступ к любой регистрации. Грубо говоря, все БД только у них или у них прямой доступ к админке всех веб-сайтов.
Для того, чтобы сделать у себя функционал регистрации, надо будет подключить аналог ТСПУ - виртуальную коробку. Т. е. это уже не твой веб-сайт будет, ты его просто сделаешь для них. Они будут видеть все, что у тебя происходит. Будет очень удобно. Им.
И да, ты, как владелец ресурса, будешь платить за их облако (БД) и это виртуальное ТСПУ. Ну и типа развивать "свой" проект)))))
Скоро до смартфонов доберуться. Привязал аккаунт на зарубежном сервисе - штраф.
Читаю ИТ новости
Антропики - очередную модель выкатили. Интел супер-пупер процессор. Китайцы роботов. Россия - запретила oauth2
А потом ловким движением руки начинаем блокировать сайты которые не придерживаются этих, несомненно крайне важных для кибербезопасности дорогих граждан, правил. А поскольку им будут подчиняться только некоторые российские сайты...
Так, недавно в МАХ ввели много новых стран для регистрации. Там только по номеру телефона можно создать учетную запись. Номера телефона не рф естественно. Т.е пойдут лесом ближнее зарубежье?
А кто-то читал сам законопроект? Можете ткнуть в конкретные строки про штрафы? Я чет как ни вертел не нашел ничего такого.
Очередной закон который писали люди, далекие от технической реальности
Сначала принимают, потом пару лет будут выпускать разъяснения как это вообще должно работать на практике
Граждане регуляторы, к сожалению, не понимают ту область, которую они регулируют. В частности, путают авторизацию и аутентификацию.
Аутентификация -- это проверка факта, что пользователь является тем, кто он на самом деле есть.
Авторизация -- это определение того, что УЖЕ АУТЕНТИФИЦИРОВАННОМУ ПОЛЬЗОВАТЕЛЮ можно делать в системе, в которой он аутентифицировался.
По контексту законопроекта, всё, что там понаписано, относится к АУТЕНТИФИКАЦИИ. Но в тексте законопроекте написано "авторизация".
Формально, этот факт означает, что использование любых зарубежных сервисов, которые на самом деле осуществляют АУТЕНТИФИКАЦИЮ, полностью законно (ибо не запрещено), и никаких санкций за это не может быть применено. Потому что OAuth2 -- это именно аутентификация, но не авторизация.
Ох, было бы любопытно взглянуть на попытку вменить такого рода нарушение в суде.
Я посмотрел закон №149-ФЗ, на который ссылаются вот эти новые статьи в КоАП. Там в разделе терминов и определений нет определения ни аутентификации, ни авторизации. Т. е. получается, что закон опирается на существующие технические определения значений этих терминов. А значит, продолжать использовать иностранные сервисы для аутентификации чисто формально -- можно. Вот авторизовать уже аутентифицированных пользователей -- нельзя, да.
Технически привязаться к запрету oauth гугла или эпла несложно, просто выпиливаешь кнопки с фронта. А вот как они собрались парсить доменные зоны при регистрации по обычному email-паролю - это уже загадка для сисадминов РКН
Смешались в кучу люди, кони авторизация, аутентификация. (С)
А может речь вообще про регистрацию?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Российским владельцам сайтов грозят штрафы до 700 тыс. рублей за авторизацию через зарубежные сервисы