Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 81
Ох веселье будет ждать разрабов и техподдержку бизнеса, то-то часы списать не куда. Вместо того, чтобы заниматься тем, что принесет бизнесу бабки, мы будем делать так, чтобы государство у бизнеса не отжало под видом штрафов заботы о населении.
Вот реально, есть же база пользователей, насколько "легко" перенести их на другой доверенный OAuth источник? А сколько будет обращений "Не могу войти, у меня пропала кнопка"? Я уж молчу, сколько людей входит с телефона через гугл/эппл и понятия не имеет, какая вообще у них почта. Они просто жмут кнопку, нажимают на телефона "Да, да, это я" и пользуются сервисом.
Короче, минусов нет
Покричат-покричат и найдут почту! У каждого гугл/эпл аккаунта она есть, так что найдётся полюбому! Люди расслабились, вот чиновники и подбадривают.
Кстати - не факт. И она может быть неожиданной и не на gmail. Google умеет быть чисто-identity провайдером.
а можна не подбадривать, можно мне самому решать через какое место заходить? (нет)
У эпл есть такой прикол, что когда вы через AppleId входите куда-то, он предлагает скрывать вашу реальную почту. Поэтому для системы вы будете не user@icloud.com, а какой-нибудь asdasd8723sda.75287@icloud.com (рандомный набор символов).
И этот алиас вы в жизни не найдете.
ну я сходу вижу держать auth-сервер там где гугл не отвалится и не будет ругаться. А уже токен доступа прокидывать в те ебеня где гугла нет.
Если у вас авторизация таки по почте, а токен oauth просто для сессий, то даже за домены переживать не надо, просто "насквозь" синхронизация по почте и все
В реальности все крупные компании прошли этот путь года два назад. Это запрещено давно, просто сейчас штраф ввели
Ага, прошёл этот путь. Угораздило меня в VK Play Atomic Heart купить. Спустя пару лет захотел пройти дополнение и не смог найти игру в аккаунте. Через техподдержку чудом выяснил, что логинился через аккаунт гугл, а теперь надо через специальную ссылку заходить и уже не помню что делать, почту привязывать, что-ли. Ссылка действует несколько часов, поэтому пришлось запрашивать её в техподдержке дважды, а потом мониторить ответы, потому что отвечали очень неспешно. Ни за что в жизни не буду пользоваться этой клоакой больше.
Ну крупные да, разумеется. Они проходят регуляно такой путь, причем иногда раньше, чем какой-то законопроект начинают рассматривать, так сказать на перед.
Но сколько есть чего по меньше и попроще, кто далек от крупного бизнеса и у них есть пользователи с такой вот историей входа. Но это проблемы уже мелкого бизнеса, когда они кого-то заботили)
заниматься тем, что принесет бизнесу бабки
сэкономил - значит заработал, если работа помогает избежать штрафов от меняющейся внешней среды, то это тоже вполне себе плюс
Ловко вы перевернули все с ног на голову - избежать штрафов - это прибыль для бизнеса ? Оррригинально-с... ©
Ага, замена софта и оборудования на импортозамещенное идет по статье "инвестиции"
А если это плюс - плати налоги!
Еврейская семья. Сын приходит домой со школы и радостно сообщает отцу:
- Папа, я сегодня сэкономил 4 шекеля!
- Как, сынок?
- Мне не пришлось платить за проезд в автобусе, ведь я бежал за ним, вместо того чтобы войти в него.
- Ну и дурак ты, сынок! Бежал бы за такси, сэкономил бы 20 шекелей!
Прошу прощения за глупый вопрос.
Разве нельзя сделать OAuth авторизацию через сервер, указанный самим пользователем? То есть, вот я хочу авторизоваться по OAuth, однако не через названных провайдеров, а через какой-то другой сервер, неизвестный целевому сайту?
Разве нельзя сделать OAuth авторизацию через сервер, указанный самим пользователем
Ну, можно конечно, в теории. Но надо понимать, что oauth – это про авторизацию, а не про аутентификацию. OAuth-сервер выдаёт токен не заменяющий ввод пароля, а разрешающий какой-то набор действий. То-есть предполагается, что аутентифицирует юзера что-то со стороны, то-есть логин-пароль юзер вводит где-то в другом месте, не у вас (ну, кроме ROPC-модели).
И вы – как владелец ресурса получающего разрешения извне – наверное хотели бы доверять механике этого чего-то.
Так что на практике надо быть как минимум серьёзно беспечным, чтобы такой токен хоть на что-нибудь существенное принимать откуда попало.
Раньше вроде так было можно но из того чем недавно приходилось пользоваться - такое есть (просят адрес openid сервера) только у Forgejo self-hosted(даже на Codeberg который по сути тот же Forgejo, уже Github/Gitlab)
вернуть нормальный локальный вход.
остальное - придуманная проблема
До этих дядя-авторизаций так и было. Добавляется только таблица users (в большинстве случаев и так есть).
С учетом последних событий с отзывом сертификатов - логичный шаг.
Как я понимаю эта опция есть только если владелец сайта имеет российское гражданство и оно единственное.
Вам же автор специально расписал, что по нынешним законам даже локальная аутентиикация пользователя -- это нифига не пара строчек где-то в /etc/passwd , а дофига регламентов и условий.
Я вот например, от слова срвсем не понимаю, как можно подтвердить отсутствие второго гражданства? Предьявить 200+ справок от различных стран с переводом и апостилем, или просто корочку сотрудника ФСБ, чтоб отвязались? Ну и ст. 16 149-ФЗ до кучи.
А ТОТP закроет всю 2FA)
А что делать с уже созданными аккаунтами?
Допустим есть у меня свой сайт- магазин и там 500 аккаунтов и половина по гуглу, половина по эплу зарегистрировались. Куда их девать?
А если ещё и хостинг не в России зарегистрирован...
В общем удачи малому бизнесу, кто ещё цел.
Так это все давно уже прошли на авито и прочих крупных сайтах. Рассылали предупреждения, что скоро ваш логин превратится в тыкву.
Да. Разница в том, что «давно» запретили сам вход, но не было ответственности, если владелец сайта забыл это реализовать. Сейчас ввели штрафы.
Т.е. всё это время как бы давалось на переделки и переход.
Да, поэтому и многие забросили аккаунты, особенно после того как Авито стал ТРЕБОВАТЬ паспорт и фотку с паспортом а в сноске написано что они могут это передавать третьим лицам, конечно же для нашего блага.
Так что пошли они нахрен.
половина по гуглу, половина по эплу зарегистрировались. Куда их девать?
емнип, некоторое время назад на пикабу выпиливали доступ через гугл, и судя по тому что я все еще хожу туда деградировать - проблема для сайта тривиальная. они просто взяли из скоупа адрес почты, и попросили сбросить пароль
Недавно у одного vps провайдера пропала кнопка авторизации через гугл. А я только через неё и заходил. Уже думал, что потерял доступ к серверам и деньгам на счёте. Но сработало восстановление пароля с указанием почты гугл аккаунта.
Про ЕСИА - если вы не госорган, не банк и не страховая - вас туда просто не подключат.
В остальном, если используете, например, Keycloak - там локальный пользователь и так создаётся в т.ч. при входе через внешних провайдеров. У него есть логин (чаще всего почта) и при наличии доступа к ней пользователь может установить себе пароль.
К keycloak есть модули для логина через ВК, Мейл, Яндекс и СберИД - лежат на гитхабе, бери и пользуйся.
Короче, если тема логина была изначально продумана - то ничего ужасного не произойдёт. И мотивация у закона в принципе вполне разумная.
Как по мне, желание залогиниться через ЕСИА на каком нибудь сайте никак не связанном с госорганами/банками\и т.д. это сам себе злобный буратино, и правильно что не подключают.
СберИД туда же..
Мотивация у закона такая же как когда то у внедрения карт МИР, ужасное может произойти с другой стороны, и к этому готовятся
Чего-то я не понял эти хитроумные трактовки:
Второе: отделить email как контакт от email как проверки доступа. Адрес Gmail в профиле сам по себе не обязан быть проблемой. Проблема появляется, когда владение этим ящиком становится способом входа или восстановления доступа: magic link, одноразовый код, сброс пароля.
Т.е. я могу быть зареган на тех же госуслугах через gmail.com, но не могу восстановить на нее пароль или что ?)
Если у вас в профиле указан gmail.com как контактная почта — это ещё не значит, что вы “авторизуетесь через Gmail”. Госуслуги знают о пользователе гораздо больше: телефон, документы, подтверждённую учётку и т.д.
Это по логике.
А как оно вывезет через некоторое время реального применения закона...
Если читать закон не как злой умысел, а как попытку решить государственную задачу
Что-то я все сильнее подозреваю, что злой умысел и является государственной задачей.
Я не понял, я могу использовать gmail как логин или не могу?
В разных материалах по разному говорят.
Gmail как адрес в профиле — скорее можно; Gmail как единственное доказательство владения аккаунтом — плохая и потенциально спорная идея.
Тут мы с Вами зависим в т.ч. и от правоприменительной практики, а решения будут принимать в т.ч. и судьи, которые, наверное, не очень различают "email как уникальное имя юзера", и "google-аккаунт как способ доказать (через владение им), что входит именно тот самый юзер".
где-то читал, что запрещают не зарубежные адреса, а зарубежные сервисы авторизации/аутентификации. Т.е. использовать адрес gmail для входа можешь, использовать сервис gmail для входа - нет. что логично, использование gmail в качестве локального логина ничем не отличается от любой рандомной строки логина.
Почему-то эта тема повсеместно игнорируется в подобных статьях
Так я о том и написал в ответе - что логин в виде user@gmail.com никак не запрещен, пока он трактуется как уникальная строчка символов. А вот подтверждение, что Вы - это Вы, и есть корень проблемы: если Вы храните в БД сайта строчку логина "user@gmail.com" и строчку хеша пароля - то это локальная авторизация, и подтверждение локально реализовано, а вот если подтверждение прилетает от систем, которые могут сделать бяку (гугла и прочих) - то такое уже низя.
Почему считается, что российские системы авторизации не могут быть большей бякой, чем гугл, и почему считается, что отстрелить всем юзерам гугл принудительно лучшее решение, чем предупредить, но не заставлять (т.е. юзеры бы сами столкнулись, если бы гугл закрыл авторизацию для юзеров из России - но не раньше) - это вот вопросы, которые мы в целях недопущения, обсуждать не станем )
В принципе я логику понимаю. Если предупредить, но не заставлять, то чуть менее чем все это проигнорируют полностью. И если вдруг гугл действительно закроет авторизацию (что вполне возможно, ибо авторизацию можно расценивать как IT услуги, а это подсанкционное дело), то одномоментно ощутимый процент населения потеряют доступ к ощутимому количеству ресурсов. И будут вопить, что правительство во всем виновато.
А вот принять законопроект в 2023 году с отложенным на несколько лет запуском - по идее должно было позволить потихоньку (по мере того, как сайты в собственном ритме бы готовились к запуску закона) убрать эту опасность. Но получилось как обычно - уже сайты чуть менее чем все проигнорировали, а теперь спохватились и завопили, что правительство во всем виновато.
Вообще-то вся статья именно о этом. О запрете именно зарубежных сервисов. Я не знаю, сколько раз это было сказано, не считал.
Тут еще зависит от трактовки самим сайтом. К примеру, личный кабинет "ТНС энерго" отказывается принимать зарубежную почту в качестве логина... и вообще ввел белый список доменов почты, чтобы не заморачиваться с определением кто есть зарубежный. И они далеко не одиноки в этом.
Что неудивительно, когда выходят статьи типа https://www.consultant.ru/law/hotdocs/81325.html ("одписан закон о запрете регистрации на российских сайтах с помощью иностранных электронных почтовых сервисов").
На всякий случай:
В понятийном апарате закона(Статья 2. Основные понятия, используемые в настоящем Федеральном законе) не установлена дефениция "авторизации". Равно как № 149-ФЗ не содержит и статических ссылок на ГОСТы например. Классические академические толковые словари (Ожегов, Ушаков, Ефремова) вообще не знают слова «авторизация» для ИТ-систем.
Часть 3 статьи 55 Конституции РФ устанавливает, что права и свободы человека могут ограничиваться только федеральным законом, но № 149-ФЗ пока никак не ввел понятие авторизации одновременно его используя в запретительном контексте.
Фундаментальный принцип правовой определенности (lex certa). Этот принцип требует, чтобы любой запрет или ограничение прав граждан и бизнеса в федеральном законе были сформулированы четко, ясно и недвусмысленно. Если законодатель использует узкоспециализированный технический термин (как «авторизация»), он обязан:
Либо дать прямое определение (дефиницию) в самом законе.
Либо сделать статичную бланкетную ссылку на конкретный нормативный акт или стандарт (например: «в значении, определенном ГОСТ Р 58833-2020»).
Попытка суда или Роскомнадзора подтянуть определение «авторизации» из других законов (например, регулирующих банковскую деятельность, связь или госуслуги) для обоснования штрафа по ст. 13.55 КоАП РФ — это классическое применение аналогии закона в карательном (запретительном) праве.
Такой маневр правоприменителя фундаментально противоречит ключевым отраслевым нормам и принципам российского права -
Прямой запрет на аналогию в КоАП РФ(Части 1 статьи 1.1 и части 1 статьи 1.8 КоАП РФ).
Понятию административного правонарушения - Статья 2.1 КоАП РФ и принцип презумпции невиновности (ч. 4 ст. 1.5 КоАП РФ). Противоправным является только то действие, которое прямо запрещено законом. Если закон № 149-ФЗ запрещает «авторизацию» без российских систем, но не раскрывает этот критерий, то состав правонарушения является юридически дефектным.
********************
Итог: формула «Судебного усмотрения»
В судах срабатывает негласный догмат: «Если техническое действие по сути является входом на сайт, значит, это авторизация, РКН в этом уверен!». Юридическую безупречность и требования ч. 3 ст. 55 Конституции суды, насколько я понимаю, сознательно приносят в жертву «государственной целесообразности».
Но эта формула не абсолютна по вышеуказанным причинам.
Мне, как жителю РБ, так нравятся эти их "ограничения для пользователей из РОССИИ", учитывая насколько пох**стично относится крупный российский бизнес к своей работе и, соотвественно точно не будет пилить 2 раздельных формы авторизации, плюс к тому еще и по умолчанию приравнивая всех пользователй не из РФ к унтерменьшам и блокируя их за VPN...
Тот же Ozon.by значит в РБ под VPN открывается и работает (фиг ли, домен белорусский, юрлицо в РБ, пользователь тоже не их РФ), а вот авторизоваться, *****, нельзя - потому что авторизация БЕЛОРУССКОГО пользователя на БЕЛОРУССКОМ домене ресурса идет через ozon. RU, который воротит носом от VPN, хотя граждан НЕ Россси это казалось бы не должно было касаться...
Не нашел в законе разрешения авторизации "по паролю", только телефон, есиа, ебс и сертифицированные SSO. Также этот закон теперь позволит заблокировать вообще весь интернет, в дополнение ко всем остальным законам, позволяющим это, типа закона об Организаторах Распространения Информации или приземления персональных данных (в качестве обеспечительной меры, чтобы пресечь правонарушение).
Сюрприз-сюрприз: в понятийном апарате закона(Статья 2. Основные понятия, используемые в настоящем Федеральном законе) не установлена дефениция "авторизации". Применяемая в запретительных целях.
Так пароль нужен для аутентификации, а закон про авторизацию.
В законе написано "если доступ к информации предоставляется пользователям, прошедшим авторизацию, то эту авторизацию владелец ресурса обязан проводить с использованием:..."
https://chatgpt.com/share/6a43768c-f668-83eb-b210-356ea393a9a7
О, ссылка на авторитетный источник) И, ожидаемо, он налил воды вперемешку с чепухой.
Авторизовать можно и без аутентификации. Например, для просмотра многих статей на хабре никакой аутентификации не требуется. Но это не значит, что не выполняется авторизация, так на запрос некоторых статей выдаётся ошибка 403 без прохождения аутентификации. Доступ к информации определяет сам сайт, без сторонних сервисов. На некоторых сайтах доступ предоставляется по ip или геолокации. Тоже без всякой аутентификации.
Предоставление доступа это и есть авторизация (это то ГПТ правильно угадал).
Перечисленные в законе сервисы - это сервисы аутентификации. Они не решают какими правами обладает пользователь на сайте.
У государства была понятная претензия: не надо строить вход на российские ресурсы так, чтобы ключ от аккаунта лежал у иностранной платформы, которая может изменить правила или отключить доступ.
Вот именно эта претензия вообще непонятная. Это дело ресурса и только его. Не надо причинять гражданам заботу и подвергать их защите. Сделают только хуже. У меня из "правильных" российских систем данные утекали существенно чаще, чем из зарубежных. Правильнее сказать, из зарубежных (кстати, заблокированных за отказ хранить персданные на территории РФ) они вообще не утекали за 20 последних лет.
Понятны другие претензии, и обе они в тексте озвучены. Иностранный сервис сложно закошмарить, особенно крупный. И он отнимает заработок у правильных людей. Не случайно на первом месте в списке правильных сервисов стоит VK - прошлое закошмаривание в их интересах еще свежо в памяти
//sarcasm mode on
Вообще молодцы, каждый раз им поражаюсь!
//sarcasm mode off
Дополню - мало того, что к ЕСИА вас просто так никто не подключит, так ещё и Сбер-ID дюже платный оказался. Когда-то мы отказались от СМС из-за непомерных расходов (и ещё там были приколы с операторами новых регионов), вот Сбер это дороже, чем СМС.
А для меня и до сих пор свежо впечатление, когда я на тогда только появившемся для юзеров cloud.ru должен был авторизовываться через приложение Сбера.
Еще раз - чтобы войти на хостинг, нужно было стать клиентом банка. И каждый раз доставать приложение банка для нового логина. А приложение банка, надо сказать, имеет другие требования по инфобезу и политике - скажем, за рубежом (или через КВН) оно может сказать "фи, какие тут гадкие IP!", и отказаться не только оплатить ЖКХ, но и на хостинг пустить.
Через время cloud.ru, вроде, приделали и авторизацию через почту, но впечатление запомнил - но, будем говорить, это частный случай, что сбер-хостинг через сбер-id пускал.
А вот как быть небольшому сайту, который к себе станет пускать через ID очередного банка, а у банка этого приложение (для авторизации) задурит?
Откуда дровишки?
У нас есть сбер ид и мы за него не платим (ну или я просто не в курсе). Да и на оффсайте сбера написано что бесплатно.
Вопрос ещё как простому пользователю понять, кто реально владеет сайтом и подпадает ли он под этот закон. Посмотрел список мест, где использую гугловый аккаунт - есть некие сомнения насчёт boosty...
Всё это дальняя подводка под СКАМ как единственный источник авторизации.
У меня сайт ориентирован на международную аудиторию, но я отдельно поддерживал русскую локализацию, потому что хотел, чтобы людям из России тоже было удобно пользоваться сервисом. И вот теперь из-за таких норм я должен убирать кнопку входа, которая для иностранной аудитории абсолютно нормальна и полезна.
Формально можно городить костыли: скрывать кнопку в русской локализации, проверять IP, делать отдельные сценарии для России. Но это все дополнительные расходы, риск ошибок и все равно не гарантия, потому что человек может зайти через VPN, а претензии потом прилетят мне.
В итоге закон, который якобы должен защищать пользователей, на практике подталкивает небольшие международные проекты просто отказаться от русской локализации, не продвигаться в России или выносить российский сегмент на отдельный домен. То есть вместо удобства и доступности получается изоляция, лишняя разработка и меньше нормальных сервисов для самих же пользователей.
Особенно обидно, что речь не о какой-то вредной функции (от сбора данных это никак не защитит), а об обычном входе через Google, Apple ID, GitHub и другие аккаунты, которыми люди давно пользуются. Для маленькой команды это не “заменить одну кнопку на другую”, а отдельный проект с юридическими рисками, миграцией пользователей и постоянным страхом штрафа.
Интересно, такое же нытьё будет стоять, если не если, а когда, скажем, какой-нибудь бразильский, немецкий (читай как "чисто ЕЭсовский") или английский (UK без доминионов и штатов) политикум решит хотя почему вдруг? Офисы и прочее уже лихорадочно импортозамещают в Европе, что собственные СамбаТуруруруНет / Евронет / Теддинет точно так же будут требовать поставщика авторизации на территории Бразилии / евросоюза / Соединенного Королевства, или ВЫ НЕ ПОНИМАЕТЕ, ЭТО ДРУГОЕ?
Не помню такого же нытья про "риски и страхи-штрафов", когда вводили на территории ЕС GDPR - или это другое?
Не понятно только зачем делать любой сервис в РФ если база пользователей тебе больше не принадлежит, а принадлежит случайным чиновникам. Кроме сервисов со сверхбыстрой ремонетизацией.
Чебурнет без пользователей и без сервисов. Зато отчетов будет нарисовано.
У владельца вк разве нет второго гражданства, узбекистандского?
Картинка с лошадью в ванне.
И не спрашивайте о собственности в иностранных юрисдикциях у его родни, ок?
P.S. А кто владелец, у кого есть гражданство-то?
Алишер Усманов. Поскольку у него есть и гражданство Узбекистана, авторизация через VK ID выпадает из списка разрешённых.
UPD: что интересно, в статье Википедии на узбекском указано только российское гражданство. В статье на английском -- оба.
Сайт принадлежит юрлицу(ПАО) и Усманов даже не самый крупный акционер там.
Пометочку пожалуйста, что текст подготовлен с помощью ИИ.
а ведь все проще - есть человек - надо к нему раз и навсегда привязывать номер телефона и вот его уже использовать как единую государственную систему авторизации и доступа к ПД..... с Юр лицами также - ЕДИНСТВЕННЫЙ единый номер телефона Юр.лица - каналов сколько Хотите номер ОДИН и только один.
Честно говоря, запутался. Если у меня есть сайт на ВордПресс, я могу использовать систему для аккаунтов пользователей, встроенный в ВордПресс? Там используется связка логин + электронная почта. Я гражданин РФ, сайт хостится в РФ. Доменная зона .ru
Мы у себя в итоге перешли на вход через Telegram. Конечно, есть юридические вопросы, но пока так сделали. Виджет от Telegram не подошёл по своим причинам, а номера собирать через SMS нам важно, но дорого. Поэтому сделали свою связку - пользователь подтверждает вход прямо в Telegram, без SMS, а номер при этом всё равно можем собрать если нужно. Получилось дешевле и без зависимости от иностранного провайдера, о которой весь сыр-бор. Если кому интересно как технически устроено - погуглите, в сети можно найти готовый SDK под это, не стали велосипед изобретать с нуля
Первый — заводить для юзеров «свой» аккаунт: логин, пароль, восстановление доступа, база пользователей, свои сессии, свои ошибки, свои утечки. Зато ни на кого не полагаясь, и делая что душа пожелает, если с этим согласится пользователь и потом проверяющий.
У юзеров в любом случае есть свой аккаунт. Всё остальное, что связано с пользователем хранить-то надо где-то. Только вместо хеша пароля там хранится какая-то имба для проверки аутентификации и авторизации.
В целом, всю статью можно сократить до одной фразы: "переводите местных пользователей с иностранным логин-провайдером на местные сервисы"
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Рунет без Google Login: что теперь делать с авторизацией