Обновить

Комментарии 45

У 99% сайтов е-мейл и пароль для аутентификации. Слабо верится, что все они сейчас побегут внедрять доступ по телефону

да я согласна с вами. причем речь и о довольно крупных ресурсах, не только про маленькие проекты. но тем не менее, вот такой закон в такой формулировке был принят

Там 4й пункт про иные системы - его по идее можно притянуть к логину и паролю.в 16 статье никаких особых требований нет

На какие сервисы распространяется закон?

Я являюсь админом форума https://visio.getbb.ru/, отец-основатель форума умер в прошлом году.

Примерно 30% зарегистрированных, при регистрации указали gmail. Последние полгода на форуме никакой активности, форум живёт на бесплатном хостинге. Пишу парсер, чтобы перенести содержимое форума на другой хостинг (скорее всего GitHub Pages).

Дальше придется закрыть форум?

Ну не знаю, тут конечно вопрос к юристам, а еще специалистам по ИБ, ибо п.16 смущает. Но если читать буквально, по моему запретили не вход по емейл или логину-паролю, а вход через кнопку Gmail и тому подобное. Допустим, я - организация в РФ, имею свою, назовем это так, систему авторизации, у которой логин - набор букв из емейл. "Система авторизации" (пусть даже встроенная в собственно нашу систему, хотя в принципе это может быть и микросервис) должна быть размещена в РФ, то есть запрещен сторонний хостинг, это да. Но по моему - главное для этой "нашей системы авторизации" соблюдать те пункты требований по ИБ, но не обязательно быть большой системой типа Яндекс ИД. Причем по моему, даже логин может быть от gmail, главное чтобы кнопки "Войти через Google" не было. Отправку одноразового пароля на gmail вроде не запрещали, ну или по крайней мере в этом законе я этого не нашла.

Если читать буквально, там 4 способа аутентификации и е-мейл + пароль в списке нет

Если читать буквально, то четвертый способ - "Иные системы "входа"... выполняющие требования ИБ из п.16". Чем наша местечковая авторизация внутри нашей системы - не "иная"? Если она конечно не хостится за рубежом. А вот вход через гугл - не проходит под понятие иные, так как нарушает требование "не хоститься за рубежом". Спор может быть разве что с монолитными приложениями (тут да, погранично), а вот сервис авторизации самописный по моему проходит за милую душу.

Почитал 16 статью, в принципе да соглашусь..

Тоже поразбираюсь, спасибо за идею

Даже если логин/пароль считать "иным" способом, что на мой взгляд логично - возможность входа через только почту (восстановление пароля, отправку кода на почту и тп) - уже должно попадать под штраф.

Если рассматривать "цель" законопроекта в том, чтобы зарубежные ресурсы не могли злонамеренно войти на сайт под пользователем - то в случае восстановления пароля эта возможность останется.

Вот тут тоже серая зона, да. Но это не значит Имхо запрета на авторизацию через НАШ сервис авторизации с отправкой кода на емейл, если емейл на ру домене. С иностранной почтой неоднозначно, соглашусь.

Если норма относится не только к веб-сайтам, а к любым приложениям, доступным через интернет - то получается, что это относится и к корпоративным впн, и если кто-то делает удаленный доступ к своему личному компьютеру/серверу через ssh/rdp/radmin и тому подобные средства?

Я на своих сайтах просто закрою возможности комментирования и т.п. Тем более, что они не особо посещаемые, так что много не потеряю.

А как можно посмотреть финальный текст того закона, который меняется этим? то есть посмотреть финальную формулировку того, что получается в итоге, если применить правки? то есть версию ещё не вступившую в силу. В интернете нигде не найти такой текст.

вы его пока что не видите, потому что он еще не прошел все стадии документооборота (совет федерации-президент-опубликование). Как только опубликуют, будет известна дата вступления в силу. Но, из практики, все эти стадии уже являются достаточно формальными

Вообще, если распространять авторизацию при доступе к сайтам максимально широко, то так получается, что и по ssh подключиться к серверу для его настройки - тоже нельзя?

Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!

Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.

Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.

Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.

Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.

Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.

благодарю за ваше мнение, ознакомлюсь с данным ГОСТом

Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден.

Но должна у сайта будет быть какая-то бумажка на обработку-хранение данных? Согласие юзера на обработку ПД, регистрация как оператора ПД?

Уведомление в РосКомНадзор об обработке ПДН, политика конфиденциальности и правила сайта как минимум. Эти вопросы на Хабре уже обсуждались. Поищите, там более развёрнуто описано, даже есть протокол действий.

Для комментов на сайте и мелкого местечкового форума даже заморачиваться не буду. Просто отключу-закрою.

А обезличивание ПДН не вариант? При регистрации запрашивать только псевдоним, емайл, пароль и всё. Это даже не ПДН, а абракадабра, которая не мешает входить на сайт. Если пытаются ФИО указать - генерируете псевдоним типа md5 - ФИО нет.

У нас всё что угодно могут за ПД посчитать. В комментах вообще только ник и емейл запрашивается. На форуме есть поля для дня рождения и т.п., там куча разной инфы. ФИО не запрашивается. Но, конечно, можно их все эти поля скрыть, оставить только ник.

строка user@gmail.com – это всего лишь идентификатор

Отправлять на эту почту код для восстановления пароля уже нельзя?
Или это не авторизация и под действие закона не попадает?

Еще раз: под запрет попали только зарубежные системы авторизации. Простыми словами, кнопки а-ля “Войти через Google”. Для всего остального, что касается процедуры входа на сайт, ничего не поменялось.

Отправлять ссылку или код для восстановления пароля на зарубежную почту не запрещено.

Согласно вашей же трактовке:
> Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации

Возможность восстановить доступ, отправив ссылку на gmail, как раз и включает трансграничную передачу данных.

наверное, речь идет о персональных данных, а не просто любых данных

Восстановление доступа ≠ авторизация.
Это функция системы аутентификации и авторизации. Строгие требования налагаются на саму систему, ее местоположение и требования к владельцам.

Предположим, мы отключаем на сайте возможность восстановления пароля. Ну нет её, и всё тут.

Ещё раз уточню - человек восстанавливает логин и пароль для доступа на сайт. Обратный адрес у него - пользователь@gmail.com.
Ему прилетает письмо вида: Уважаемый Пользователь (фамилия имя отчество). Ваши данные такие-то.
ФИО и емайл - уже ПДН. Налицо трансграничная передача ПДН. В правилах сайта и политике конфиденциальности и в реестре РКН информация о трансграничной передаче данных отсутствует.
У владельца сайта уже проблемы тогда или я что-то не так понимаю?

Нет, восстановление доступа — это всего лишь информационное письмо, которое вас никак не идентифицирует. В письме — ссылка на форму обновления пароля. Ваши ФИО — это ваша забота, что вы там указывали внутри Gmail, когда регистрировались. Согласен, притянуто за уши. Но ещё раз: восстановление пароля или magic link на почту не имеет к авторизации вообще никакого отношения. Посему не волновайтесь.

Гигантский социальный взрыв и тотальный паралич всех сервисов.

Спасибо, посмеялся. Уже заблокировали whatsapp, Facebook, telegram, Instagram, миллион российских сайтов на herzner, ovh и cloudflare cdn. Куда уж ещё хуже ?

Заблокировать — это одно. А вот запретить, похоже, иное. Смеётся хорошо тот, кто смеётся последним. Так кто же?

Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.)

А можете кинуть ссылочкой, где почитать про это разделение? Я почитал и текст этого закона 149, в котором эти 4 "допустимых способа" авторизации прописаны, и статью 16, на которую этот закон ссылается, там хоть и таким заунывно-непонятным языком все написано, что черт ногу сломит, но я не нашел конкретики именно про сущности/емейлы/oauth/id и т.д.

Заранее спасибо.

Написано не просто отвратно, а умышленно непонятно. А вот попробуйте посмотреть вышеуказанный ГОСТ. Осознать разумом сию печаль возможным не представляется. Но нет иного способа понять, что же от нас всех хотят на этот раз.

А как это проверяется?

Ну вот допустим есть:

  • Peertube-сервер videos.mydomain.com, своя регистрация есть, по e-mail+пароль но также - работает вход через ActivityPub-федерацию (по сути любой Peertube/Mastodon и прочие поддерживающие работают, штатный функционал того что ActivityPub поддерживает). при этом videos.mydomain.com использует cloudflare но сам сервер в России.

  • есть mail.mydomain.com (адреса user@mydomain.com) у которого MX#1 в России, MX#2 в европе, реальная VM с mailcow (стоит "за" MX'ами) в России тоже (а еще есть mail.mydomain.ru - полный алиас)

  • админ всего этого - гражданин России.

  • пользователи кроме админа - есть. кто что нарушает?

Ксения, как юрист юристу: ничего что указанная Вами статья 8, закрепляет положения о доступе к информации о деятельности государственных органов и органов местного самоуправления ?
Речь в той статье именно об этом. А п. уже указывает на способ авторизации для получения этой информации.

Смотрите, сама статья называется 'доступ к информации', п. 10 статьи адресован для тех, кто является 'владельцем сайта или программы для ЭВМ'.

Согласна, что в тексте статьи есть нормы для гос.органов.

Но конкретно п. 10 ст. 8 адресован и всем остальным тоже.

Это называется даже не вольная трактовка, а выдумки. В ст. 8 не указано, что относится ко всем, как и в новом законопроекте нет отсылки к этой статье. Это всё равно что до введения штрафов сказать "За использование такой авторизации не предусмотрены штрафы, но у нас есть статья кража (158 УК РФ)". И всем пособникам похитителей данных при трансграничной передаче, которые оставили такую аутентификацию у себя на сайте, до двух лет. А что, неплохо вроде.

Если в нормах закона прописано чем пользоваться нельзя, то не обязательно искать, чем пользоваться можно, натягивая сову на глобус. Ровно как и если человек будет наказан за вождение в нетрезвом виде, то не нужно искать статьи, регламентирующие в каком виде ему можно ездить. А-то получится, что в мятой рубашке тоже нельзя, там же не прописано в законе про такую рубашку.

То что вы сделали - называется манипуляцией. Непонятно только зачем, если скоро всё растолкуют. Хотя уже растолковали: речь исключительно о трансграничной передаче данных

Топикстартер безбожно наврала в духе “а мне так показалось”, причем не просто натянула сову на глобус, а накатала целую простыню откровенной ереси. Не разбираешься, не надо лезть и выдумывать. А если накосячила, признай ошибку и исправь. Нет, она будет до последнего упорствовать.

Я предлагаю вам еще раз ознакомиться с текстом постановлений в полном объеме:

  1. Статья 13.53 КОАП (в новой редакции, пока не вступила в силу)

    Неисполнение обязанности по проведению авторизации пользователей при предоставлении доступа к информации

Неисполнение владельцем сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, осуществляющим свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязанности проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из способов, предусмотренных Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в случае, если такая обязанность предусмотрена указанным Федеральным законом - влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятисот тысяч до семисот тысяч рублей.»

2. П 10 ст. 8 Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.12.2025) “Об информации, информационных технологиях и о защите информации”

  1. Владелец сайта и (или) страницы сайта в сети “Интернет”, и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети “Интернет” на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети “Интернет”, и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

  1. с использованием абонентского номера оператора подвижной радиотелефонной связи;

  2. с использованием федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” (далее - единая система идентификации и аутентификации);

  3. с использованием государственной информационной системы “Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных” в порядке, предусмотренном статьями 9 и 10 Федерального закона от 29 декабря 2022 года N 572-ФЗ “Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации”;

  4. с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети “Интернет”, и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо. Если иное не предусмотрено международным договором Российской Федерации, российским юридическим лицом, указанным в настоящем пункте, является юридическое лицо, находящееся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые указанным юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.

Таким образом, новая ст. 13.53 КОАП и п. 10 ст. 8 149-ФЗ предусматривают и обязанности, и ответственность для владельцев сайта - граждан РФ и российских юридических лиц.

Давайте рассмотрим вашу позицию более подробно со ссылками на те пункты, которые это опровергают.

Единственный вопрос, который мы обсуждали выше, связан с понятием авторизации. Если корректно разобраться с определением этого термина, становится понятным, что речь никак не идет о запрете зарубежной почты в качестве идентификатора (логина). Исходя из этого, ваша публикация вводит в заблуждение. Ксения, ну право же, хватит педалировать собственные домыслы. Рекомендую изучить параллельную дискуссию здесь: https://habr.com/ru/news/1045528/.

user@gmail.com - используется для восстановления пароля, таким образом инфо обрабатывается иностранным оператором.
Просто логин пароль никто не использует, всегда прикручено восстановление, ОТП коды и т.п.

Минуточку, вам прислали ссылку для восстановления пароля на сайте. Какие ПД здесь мы куда-то передали, помимо тех, которые вы сами предоставили провайдеру почты, когда регистрировались. Не передёргивайте.

Хотя, да, законодательно мы все и всё нарушаем тотально и бесповоротно, причём каждый день.

Что ж, да будет coup de grâce.

Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации