Хабр Курсы для менеджеров
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Менеджмент доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 13
У 99% сайтов е-мейл и пароль для аутентификации. Слабо верится, что все они сейчас побегут внедрять доступ по телефону
На какие сервисы распространяется закон?
Я являюсь админом форума https://visio.getbb.ru/, отец-основатель форума умер в прошлом году.
Примерно 30% зарегистрированных, при регистрации указали gmail. Последние полгода на форуме никакой активности, форум живёт на бесплатном хостинге. Пишу парсер, чтобы перенести содержимое форума на другой хостинг (скорее всего GitHub Pages).
Дальше придется закрыть форум?
Ну не знаю, тут конечно вопрос к юристам, а еще специалистам по ИБ, ибо п.16 смущает. Но если читать буквально, по моему запретили не вход по емейл или логину-паролю, а вход через кнопку Gmail и тому подобное. Допустим, я - организация в РФ, имею свою, назовем это так, систему авторизации, у которой логин - набор букв из емейл. "Система авторизации" (пусть даже встроенная в собственно нашу систему, хотя в принципе это может быть и микросервис) должна быть размещена в РФ, то есть запрещен сторонний хостинг, это да. Но по моему - главное для этой "нашей системы авторизации" соблюдать те пункты требований по ИБ, но не обязательно быть большой системой типа Яндекс ИД. Причем по моему, даже логин может быть от gmail, главное чтобы кнопки "Войти через Google" не было. Отправку одноразового пароля на gmail вроде не запрещали, ну или по крайней мере в этом законе я этого не нашла.
Если читать буквально, там 4 способа аутентификации и е-мейл + пароль в списке нет
Если читать буквально, то четвертый способ - "Иные системы "входа"... выполняющие требования ИБ из п.16". Чем наша местечковая авторизация внутри нашей системы - не "иная"? Если она конечно не хостится за рубежом. А вот вход через гугл - не проходит под понятие иные, так как нарушает требование "не хоститься за рубежом". Спор может быть разве что с монолитными приложениями (тут да, погранично), а вот сервис авторизации самописный по моему проходит за милую душу.
Почитал 16 статью, в принципе да соглашусь..
Тоже поразбираюсь, спасибо за идею
Даже если логин/пароль считать "иным" способом, что на мой взгляд логично - возможность входа через только почту (восстановление пароля, отправку кода на почту и тп) - уже должно попадать под штраф.
Если рассматривать "цель" законопроекта в том, чтобы зарубежные ресурсы не могли злонамеренно войти на сайт под пользователем - то в случае восстановления пароля эта возможность останется.
Если норма относится не только к веб-сайтам, а к любым приложениям, доступным через интернет - то получается, что это относится и к корпоративным впн, и если кто-то делает удаленный доступ к своему личному компьютеру/серверу через ssh/rdp/radmin и тому подобные средства?
Я на своих сайтах просто закрою возможности комментирования и т.п. Тем более, что они не особо посещаемые, так что много не потеряю.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как быть с авторизацией пользователей после новостей о штрафах