Даже если отбросить в сторону персданные, останется такое понятие, как "организатор распространения информации". Ибо на сайте публикуется информация для неограниченного круга лиц (его же могут все читать) и неограниченным кругом лиц (на нём можно оставлять комментарии). Любое из этих условий также накладывает ограничения, в том числе физическое размещение информационной системы (CMS, серверного софта) в РФ, а также обязывает предоставление некоторых данных в контролирующие органы.
А вот в этой статье на Хабре считают иначе. ФИО (хотя я их вскользь упомянул, к теме не относятся) принадлежат «общей категории» ПДн. IP тоже рекомендуют считать персданными. Чему верить?
Насколько я понимаю, теперь даже владельцы персональных блогов, хостящиеся на VPS вне РФ, также должны переселяться, иначе получат штраф. Формально они тоже «операторы персональных данных» и под «личные нужды» ведение блогов не подпадает, ибо сайты — это информационные системы, обрабатывающие персданные.
Почему я так решил
Чтобы понять, нужно переносить сайт в РФ или нет, я изучил три главных документа.
1. Самую свежую редакцию Федерального Закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», статью «10.1. Обязанности организатора распространения информации в сети „Интернет“. Там есть определение организатора распространения информации. Получается, владелец сайта, даже личного, таким организатором является, ибо он публично размещает инфу в интернете для неопределённого круга лиц.
2. Постановление Правительства РФ от 31 июля 2014 г. N 747, где есть список исключений — всякая там учебная деятельность, исследовательская, творческая вроде как подпадает под определение личных нужд. Но есть нюансы, о которых ниже.
3. Федеральный закон „О персональных данных“ от 27.07.2006 N 152-ФЗ, тоже с самыми свежими „патчами“.
Что из них можно выяснить и какие выводы сделать:
1) „Обработка“ персональных данных — это хранение, систематизация, вообще любая автоматизированная обработка персональных данных (обработка человеком подпадает под статью 22 в 152-ФЗ, там, насколько я понимаю, свои нюансы и к сайтам отношения не имеют).
2) Персональные данные — это данные (или их совокупность), способные идентифицировать человека. В том числе IP посетившего сайт. ФИО и номер паспорта — лишь яркие примеры ПД, но на самом деле список шире. Не верите — поищите, за что суд постановил блокировать LinkedIn (там IP упоминается в том числе). Не забывайте, что у нас договора оказывания услуг связи с указанием паспортных данных заключаются, а значит, IP и человек связаны.
3) В Постановлении N 747 на самом деле очень мало исключений, потому что сайт не может подпадать под определение „под личные нужды“. Сайт — это информационная система, которая в автоматическом порядке обрабатывает IP адреса пользователей (какой-нибудь nginx принимает запросы, пишет адреса в access.log) и даёт возможность публично публиковать сообщение людей „не из семейного круга“ (не забыли про систему комментариев?). „Нужды“ тут совсем не при чём.
То есть, если на блоге выполняется хотя бы одно из условий:
а) люди могут оставлять комментарии;
б) есть скрипты, которые собирают статистику посещения;
в) есть некая система, которая автоматизированно смотрит, какой там IP у посетителей, записывает их в свои логи;
то сайт должен находиться в РФ.
Печально. Поправьте, если не прав.
Закупки софта российскими государственными компаниями составляют около 140 миллиардов рублей в год. В то же время совокупный доход отечественных IT-компаний на внутреннем рынке не дотягивает и до 30 млрд рублей, о чем заявил директор центра компетенций по импортозамещению Илья Массух.
То есть, чтобы дотянуться до оставшихся 110 миллиардов рублей, этот «директор центра компетенций по импортозамещению» предлагает не качество отечественного софта повышать и сопутствующих услуг, дабы действительно улучшить ситуацию в стране, а закрывать все лазейки, используемые для получения скорее всего более качественного ПО. Я правильно понимаю ситуацию?
Такие меры умиляют на фоне существования отделений банков, где мониторы с рабочих мест смотрят в сторону окон (пример Сбербанка, просматриваемые окна в левой части здания, на фото видны частично прикрытые плакатами справа). О да, усилили безопасность, конечно.
Зарегистрировался. Пришла ссылка подтверждения. Перешёл по ней — это страница логина. Попытался зайти — не получилось, зато спустя секунду произошёл редирект на сообщение, что почта подтверждена. Попытался зайти снова — удалось. Странное поведение для процедуры регистрации.
FAQ не информативен. О том, за счёт чего монетизируетесь, написано только в вашей статье, на сайте не увидел. Вообще не понятно, что с бесплатной частью — как долго будет работать, могут ли отобрать какие-то функции, сколько максимум сайтов можно добавить. Даже использовать для мониторинга доступности боязно, ибо непонятно — через какие каналы связи будут приходить оповещения о проблемах на сайте. Почтой? Только в админке и приложении?
Сама админка не информативна. Спасибо, конечно, что нашли адрес моего сайта в базе CRDF, но почему, чтобы добраться до этой информации, я должен либо экспортировать в CSV эту одну строчку, либо додуматься кликнуть по «1» в списке? И почему нет ссылок на детали/рапорт о ложном срабатывании? И в чём смысл кнопки «Reset status»?
Также нет доверия к сканеру портов. На моём сервере не только 80 и 443 открыты, ваш сервис определил только их. Если он не перебирает их все, то непонятно, зачем он нужен — если малварь какая-то откроет для себя порт, WebTotem будет только во вред, создавая иллюзию контроля и безопасности.
P.S. Добавил ещё два сайта — у одного в разделе Домен статус «Не поддерживается», у другого — «Ошибка». Что сиё значит — непонятно.
Опять двадцать пять. Как и в комментах прошлого поста, вы снова суждения выдаёте за истину. К найденным у вас Контрольным Центром нарушениям неприменимо субъективное понятие «незначительные недочёты». Не по «мнению» КЦ, а в нарушение пунктов 9 и 11 Требований аккредитованной организации и пункта 2.14 Правил регистрации доменных имен в доменах .RU и.РФ (это из решения КЦ, если что).
Как раз-таки указанные пункты касаются вашей ответственности при передаче возможности регистрации доменов партнёрам, с чем и нашли проблемы у REG.RU, а у Бегета с этим всё нормально.
Если вы «защищаете своих клиентов и репутацию», договор нужно было составлять правильно изначально, а не после проверки контролирующего органа.
Принципиально? К сожалению, не могу охватить все области человеческой деятельности и привести все открытия и внедрения инноваций, произошедшие за последние 20 лет. Но вот навскидку из моих, сугубо узких и скромных, областей деятельности и интересов:
1. Медицина. Если бы в девяностые были бы доступны те средства диагностики и лечения, которые сейчас можно получить пускай не бесплатно, но хоть как-то, двое близких мне людей всё ещё были рядом со мной.
2. СМИ стало гораздо проще искать информацию и проверять на достоверность. В 90-е нужно было держать связь с местными «экспертами» и доверять их суждениям, на крайний случай вызванивать и просить дать комментарии людей, которые вроде как эксперты в нужной области, но за прошедшие двадцать лет стало гораздо проще разобраться, кто есть кто и что есть что. И связаться проще. Поэтому антинаучной ереси стало меньше.
3. Сегодня образование — не результат упорного труда и больших усилий. Я как раз учился в школе на рубеже тысячелетий и остро ощутил, насколько эффективнее пользоваться интернетом даже начала двухтысячных по сравнению с походами в библиотеку. Теперь пройти онлайн-курсы, чтобы получить какой-то навык хотя бы на стартовом уровне — раз плюнуть, лишь бы время было и немного денег.
4. Если открыть Ютуб или любую социальную сеть (ах да, они тоже появились не так давно), то станет понятно, что качественная фоторетушь, монтаж видео и даже работа с CGI стали сильно проще и доступнее как раз за последние пару десятилетий. Можно ли считать это принципиальным изменениям? Я считаю, что да, потому что это сильно улучшило подачу информации и косвенно — передачу знаний.
5. Сильно упростилось внедрение автоматизации вёрстки изданий на физических носителях. Хотя LaTeX появился ещё в восьмидесятых, поэтому спорный момент.
6. «Облака» позволяют быстро и дёшево создавать и держать онлайн-сервисы.
7. Ракеты научились не только взлетать, но и возвращаться.
Что-то из этого можно посчитать не «принципиальным». Каждый имеет право на мнение. Я высказал своё.
Это всё-таки разные продукты (если можно назвать Торфон продуктом на текущей стадии) и сравнивать их бессмысленно. Конечно, Телеграм как мессенджер с самым удобным интерфейсом в мире (IMHO) ультимативно привлекателен. Но у него закрыта серверная часть и фактически есть точки отказа. А здесь появился проект с вроде как открытым исходным кодом и другим способом связи. Да, ему без году неделя и пока не было никакого аудита кода. Но как концепт это просто «вау» — выжать из Tor-сетей такую низкую задержку при голосовой связи и одновременно обеспечить работу вне Tor сетей, пускай с потерей анонимности — это сильная идея.
Только мне одному кажется, что размышление о том, что для хорошей связи с неким инфопространством в Интернете помогут 5G и облачные вычисления — ненужные частности?
Есть задача: обеспечить обратную связь с мозгом. Какие данные будут передаваться и для чего — детали, которые сейчас предсказывать бессмысленно.
20 лет — слишком большой срок для технологий. Кто знает, какие открытия случатся за это время. Может быть, вместо нанороботов войдут в обиход носимые устройства типа браслетов, точно фокусирующие магнитные поля для сдвига атомов и, соответственно, клеток в теле. И Интернет ведь явно станет другим. Быть может, разделённым на сектора по географическому расположению или назначению. Думать о том, к чему и для чего будет подключаться мозг, слишком рано. Сейчас важно лишь как.
Подскажите, пожалуйста, кто знает физику лучше меня. На втором и третьем видео ракета стартует, насколько я вижу, с обычного бетона. То есть стола для запуска фактически нет. Мне интересно: а покрытие может повлиять на балансировку ракеты при старте? Я понимаю, что возможность продавливания земли автоматика наверняка учитывает, но насколько это влияет на запуск? Допустим, если под ракетой на старте от реактивной струи образуется яма полметра глубиной, должно ли из-за этого тряхнуть ракету или увести в сторону? Или же импульс там такой, что подобные инциденты существенно ни на что не влияют?
Теперь все эти перипетии с Телеграмом кажутся чем-то ничтожным. Потому что вот он — проект, бескомпромиссно использующий современные технологии для приватной связи. Вот так в одночасье претензии на доступ к переписке стали бессмысленны, потому что появился способ действительно анонимной связи.
За мод к Готике огромное спасибо. Но в этом конкретном случае улучшение не слишком очевидно и в общем смотреть не очень приятно, потому что от кадра к кадру качество сильно меняется. Линии слипаются и разлипаются, особенно это заметно на углах и вблизи круглых объектов. Глаза персонажей — яркий тому пример. В статике выглядит хорошо.
Посещаю Пикабу наравне с десятком других подобных ресурсов. Я из тех «олдфагов», которые помнят, например, каким был кпнемо. Так что мне есть с чем сравнивать.
Отличительная черта Пикабу — сообщество, очень активное в плане свободы выражения мысли. Ситуация с клубничкой — лишь повод в очередной раз доказать, насколько неадекватны на ресурсе модераторы и админ, насколько они считают нормальным затыкать людям рты.
Вот пример, который коснулся лично меня, хотя на Пикабу ни разу поста не создал — год назад они внедрили принудительную привязку аккаунта к телефону. Зачем-то подали это под предлогом, что 60 тысяч аккаунтов были скомпрометированы, и повесили назойливую плашку вверху каждой страницы с «предложением» привязать номер телефона. Вот только в моей якобы взломанной учётной записи, зарегистрированной на почту с двухфакторной аутентификацией, этот самый пароль был действительно сложный и я его успел раза два-три в браузере ввести, не больше. То есть утечка с моей стороны была исключена.
Когда я вежливо уточнил в комментариях (это был мой первый коммент там), каков шанс того, что сбросили пароль не у скомпрометированной учётки или у них всё-таки утекла база пользователей, сообщение спустя пару минут уже удалили. При этом сама учётная запись в порядке, её не забанили, но IP VPN, с которого я тогда написал комментарий, вероятно, бросили в блэклист. С тех пор при попытке открыть с этого адреса сайт отдаёт 403 ошибку. Теперь я из вредности раз в месяц-другой кидаю им в форму связи с ТП вопрос — почему данный IP забанили? — пока ответа не пришло.
То есть обратной связи от сотрудников Пикабу никакой. Есть сообщество, которое любит общаться в комментариях, пишут посты с опытом из жизни, историями, рассказами, рисуют комиксы, решают проблемы и обмениваются подарками, а есть админ и сотоварищи, которые не считают нужным соблюдать правила, ими же установленные, и быть искренними с теми, кто дарит свой труд этому сайту.
UPD: Вот так и выясняется, человеческое ли отношение у компаний к людям. Бегет в лице redfenix через личку оперативно предоставил детальнейший обзор ситуации со стороны Beget. Там есть ключевая информация, которую в данный момент лучше не обнародовать, поэтому я пока помолчу, извините.
Кстати, представитель Reg.ru Alessandra когда-то обещала раскрывать новые повороты в этой захватывающей истории:
Мы полагаем, что случившаяся ситуация для многих непонятна и кажется нелогичной в каких-то деталях, но с ходом истории, новыми раскрываемыми данными станет хрестоматийной и понятной во всех аспектах.
В статье как-то не очень понятно объяснено, для чего нужен стандарт. Говорится о 57% крупных сайтах, не использующих HTTPS, затем в следующей главе упоминается, что методы WebAuthn используют защищённое соединение. Ну так применять HTTPS для повышения безопасности при авторизации можно и без WebAuthn, зачем создавать лишние звенья в цепи?
Стандарт, по моему скромному мнению, лишь навредит безопасности, потому что склоняет использовать для авторизации сущности, которые ну никак не запрятать в голове. Произойдёт отрыв личности от объекта, идентифицирующего эту личность, в угоду удобству.
В наше время, когда считается усилением безопасности привязка аккаунтов к телефонному номеру или, упаси Боже, подтверждение входа кодом из СМС (при том, что постоянно всплывают новости, как очередной сотрудник оператора сотовой связи отдал мошенникам симкарту или получил доступ сам корысти ради), можно ли внедрять на сайты, сервисы и устройства такую однобокую в плане реализации фишку — авторизацию по какому-то внешнему признаку? По-моему, нужно сначала определиться с тем, что такое настоящая безопасность при авторизации, а только затем внедрять новые фичи, однозначно положительно влияющие на эту безопасность.
Телефон, пальцы, глаза, отпечаток уха, да даже ДНК — всё это можно сымитировать или отобрать. Само устройство внешней аутентификации может быть уязвимо. Таким образом кража личности станет более простым делом.
Я не утверждаю, что WebAuthn зло и нельзя им пользоваться. Просто то, как оно работает, не соотносится с тем, как это хотят использовать.
Интересно, чем закончилась эта тяжба? Закончилась ли? На сайте координационного центра есть пресс-релиз о внеплановой проверке регистраторов, но 9 месяцев прошло, результаты опубликованы не были ни одной из сторон.
Да, всё возможно. В первом ответе, где они попросили заявление, забыли указать номер заявки внизу письма, так что, полагаю, они не уделяют внимания ни тексту, ни работоспособности системы заявок. Это печально. А вдруг действительно мои персданные кому-то ещё из-за сбоя улетят? Техподдержка подтвердила, что была техническая ошибка.
Скриншот переписки
Я нашёл-таки актуальные ФИО генерального директора и написал письмо вот такого содержания, их это устроило. Ключ мне действительно уже прислали.
Вдруг кому пригодится 100% подходящий текст заявления
Генеральному директору ООО «Регистратор доменных имён РЕГ.РУ» Королюку А.Н.
от (мое ФИО), родившегося тогда-то, паспорт с серией и номером таким-то, выданным (название учреждения и дата выдачи).
Требую выдать секретный ключ для переноса моего домена (имя) из аккаунта в РЕГ.РУ к другому регистратору. (дата заявления, подпись, мои ФИО.)
Ключ отдал другому регистратору, теперь РЕГ.ГУ должен подтвердить перенос. Потом останется только запретить им обрабатывать мои персональные данные и отношения с РЕГ.РУ закончатся.
И, кстати, они-таки переключили режим с «засыпем псевдоюридическими отписками и угрозами» на «показную любовь к клиентам»: исполнили мою просьбу показать приложения к письму директору координационного центра национального домена: https://www.searchengines.ru/provajder-beget-lishen-statusa.html#comment-3936211098
Дополняю: собственно, что и ожидалось — в ответ на отправленные сканы заявления и паспорта выяснилось, что письма они теперь не принимают:
Заголовок спойлера
Либо у них проблемы с логикой (зачем требовать отправить сканы в ответном письме?), либо за часовой промежуток между отправкой письма и ответом усложнили процедуру переноса доменных имён.
Даже если отбросить в сторону персданные, останется такое понятие, как "организатор распространения информации". Ибо на сайте публикуется информация для неограниченного круга лиц (его же могут все читать) и неограниченным кругом лиц (на нём можно оставлять комментарии). Любое из этих условий также накладывает ограничения, в том числе физическое размещение информационной системы (CMS, серверного софта) в РФ, а также обязывает предоставление некоторых данных в контролирующие органы.
1. Самую свежую редакцию Федерального Закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», статью «10.1. Обязанности организатора распространения информации в сети „Интернет“. Там есть определение организатора распространения информации. Получается, владелец сайта, даже личного, таким организатором является, ибо он публично размещает инфу в интернете для неопределённого круга лиц.
2. Постановление Правительства РФ от 31 июля 2014 г. N 747, где есть список исключений — всякая там учебная деятельность, исследовательская, творческая вроде как подпадает под определение личных нужд. Но есть нюансы, о которых ниже.
3. Федеральный закон „О персональных данных“ от 27.07.2006 N 152-ФЗ, тоже с самыми свежими „патчами“.
Что из них можно выяснить и какие выводы сделать:
1) „Обработка“ персональных данных — это хранение, систематизация, вообще любая автоматизированная обработка персональных данных (обработка человеком подпадает под статью 22 в 152-ФЗ, там, насколько я понимаю, свои нюансы и к сайтам отношения не имеют).
2) Персональные данные — это данные (или их совокупность), способные идентифицировать человека. В том числе IP посетившего сайт. ФИО и номер паспорта — лишь яркие примеры ПД, но на самом деле список шире. Не верите — поищите, за что суд постановил блокировать LinkedIn (там IP упоминается в том числе). Не забывайте, что у нас договора оказывания услуг связи с указанием паспортных данных заключаются, а значит, IP и человек связаны.
3) В Постановлении N 747 на самом деле очень мало исключений, потому что сайт не может подпадать под определение „под личные нужды“. Сайт — это информационная система, которая в автоматическом порядке обрабатывает IP адреса пользователей (какой-нибудь nginx принимает запросы, пишет адреса в access.log) и даёт возможность публично публиковать сообщение людей „не из семейного круга“ (не забыли про систему комментариев?). „Нужды“ тут совсем не при чём.
То есть, если на блоге выполняется хотя бы одно из условий:
а) люди могут оставлять комментарии;
б) есть скрипты, которые собирают статистику посещения;
в) есть некая система, которая автоматизированно смотрит, какой там IP у посетителей, записывает их в свои логи;
то сайт должен находиться в РФ.
Печально. Поправьте, если не прав.
То есть, чтобы дотянуться до оставшихся 110 миллиардов рублей, этот «директор центра компетенций по импортозамещению» предлагает не качество отечественного софта повышать и сопутствующих услуг, дабы действительно улучшить ситуацию в стране, а закрывать все лазейки, используемые для получения скорее всего более качественного ПО. Я правильно понимаю ситуацию?
FAQ не информативен. О том, за счёт чего монетизируетесь, написано только в вашей статье, на сайте не увидел. Вообще не понятно, что с бесплатной частью — как долго будет работать, могут ли отобрать какие-то функции, сколько максимум сайтов можно добавить. Даже использовать для мониторинга доступности боязно, ибо непонятно — через какие каналы связи будут приходить оповещения о проблемах на сайте. Почтой? Только в админке и приложении?
Сама админка не информативна. Спасибо, конечно, что нашли адрес моего сайта в базе CRDF, но почему, чтобы добраться до этой информации, я должен либо экспортировать в CSV эту одну строчку, либо додуматься кликнуть по «1» в списке? И почему нет ссылок на детали/рапорт о ложном срабатывании? И в чём смысл кнопки «Reset status»?
Также нет доверия к сканеру портов. На моём сервере не только 80 и 443 открыты, ваш сервис определил только их. Если он не перебирает их все, то непонятно, зачем он нужен — если малварь какая-то откроет для себя порт, WebTotem будет только во вред, создавая иллюзию контроля и безопасности.
P.S. Добавил ещё два сайта — у одного в разделе Домен статус «Не поддерживается», у другого — «Ошибка». Что сиё значит — непонятно.
Как раз-таки указанные пункты касаются вашей ответственности при передаче возможности регистрации доменов партнёрам, с чем и нашли проблемы у REG.RU, а у Бегета с этим всё нормально.
Если вы «защищаете своих клиентов и репутацию», договор нужно было составлять правильно изначально, а не после проверки контролирующего органа.
1. Медицина. Если бы в девяностые были бы доступны те средства диагностики и лечения, которые сейчас можно получить пускай не бесплатно, но хоть как-то, двое близких мне людей всё ещё были рядом со мной.
2. СМИ стало гораздо проще искать информацию и проверять на достоверность. В 90-е нужно было держать связь с местными «экспертами» и доверять их суждениям, на крайний случай вызванивать и просить дать комментарии людей, которые вроде как эксперты в нужной области, но за прошедшие двадцать лет стало гораздо проще разобраться, кто есть кто и что есть что. И связаться проще. Поэтому антинаучной ереси стало меньше.
3. Сегодня образование — не результат упорного труда и больших усилий. Я как раз учился в школе на рубеже тысячелетий и остро ощутил, насколько эффективнее пользоваться интернетом даже начала двухтысячных по сравнению с походами в библиотеку. Теперь пройти онлайн-курсы, чтобы получить какой-то навык хотя бы на стартовом уровне — раз плюнуть, лишь бы время было и немного денег.
4. Если открыть Ютуб или любую социальную сеть (ах да, они тоже появились не так давно), то станет понятно, что качественная фоторетушь, монтаж видео и даже работа с CGI стали сильно проще и доступнее как раз за последние пару десятилетий. Можно ли считать это принципиальным изменениям? Я считаю, что да, потому что это сильно улучшило подачу информации и косвенно — передачу знаний.
5. Сильно упростилось внедрение автоматизации вёрстки изданий на физических носителях. Хотя LaTeX появился ещё в восьмидесятых, поэтому спорный момент.
6. «Облака» позволяют быстро и дёшево создавать и держать онлайн-сервисы.
7. Ракеты научились не только взлетать, но и возвращаться.
Что-то из этого можно посчитать не «принципиальным». Каждый имеет право на мнение. Я высказал своё.
Есть задача: обеспечить обратную связь с мозгом. Какие данные будут передаваться и для чего — детали, которые сейчас предсказывать бессмысленно.
20 лет — слишком большой срок для технологий. Кто знает, какие открытия случатся за это время. Может быть, вместо нанороботов войдут в обиход носимые устройства типа браслетов, точно фокусирующие магнитные поля для сдвига атомов и, соответственно, клеток в теле. И Интернет ведь явно станет другим. Быть может, разделённым на сектора по географическому расположению или назначению. Думать о том, к чему и для чего будет подключаться мозг, слишком рано. Сейчас важно лишь как.
Отличительная черта Пикабу — сообщество, очень активное в плане свободы выражения мысли. Ситуация с клубничкой — лишь повод в очередной раз доказать, насколько неадекватны на ресурсе модераторы и админ, насколько они считают нормальным затыкать людям рты.
Вот пример, который коснулся лично меня, хотя на Пикабу ни разу поста не создал — год назад они внедрили принудительную привязку аккаунта к телефону. Зачем-то подали это под предлогом, что 60 тысяч аккаунтов были скомпрометированы, и повесили назойливую плашку вверху каждой страницы с «предложением» привязать номер телефона. Вот только в моей якобы взломанной учётной записи, зарегистрированной на почту с двухфакторной аутентификацией, этот самый пароль был действительно сложный и я его успел раза два-три в браузере ввести, не больше. То есть утечка с моей стороны была исключена.
Когда я вежливо уточнил в комментариях (это был мой первый коммент там), каков шанс того, что сбросили пароль не у скомпрометированной учётки или у них всё-таки утекла база пользователей, сообщение спустя пару минут уже удалили. При этом сама учётная запись в порядке, её не забанили, но IP VPN, с которого я тогда написал комментарий, вероятно, бросили в блэклист. С тех пор при попытке открыть с этого адреса сайт отдаёт 403 ошибку. Теперь я из вредности раз в месяц-другой кидаю им в форму связи с ТП вопрос — почему данный IP забанили? — пока ответа не пришло.
То есть обратной связи от сотрудников Пикабу никакой. Есть сообщество, которое любит общаться в комментариях, пишут посты с опытом из жизни, историями, рассказами, рисуют комиксы, решают проблемы и обмениваются подарками, а есть админ и сотоварищи, которые не считают нужным соблюдать правила, ими же установленные, и быть искренними с теми, кто дарит свой труд этому сайту.
Кстати, представитель Reg.ru Alessandra когда-то обещала раскрывать новые повороты в этой захватывающей истории:
Но со стороны Reg.ru никаких вестей вовсе нет.
Стандарт, по моему скромному мнению, лишь навредит безопасности, потому что склоняет использовать для авторизации сущности, которые ну никак не запрятать в голове. Произойдёт отрыв личности от объекта, идентифицирующего эту личность, в угоду удобству.
В наше время, когда считается усилением безопасности привязка аккаунтов к телефонному номеру или, упаси Боже, подтверждение входа кодом из СМС (при том, что постоянно всплывают новости, как очередной сотрудник оператора сотовой связи отдал мошенникам симкарту или получил доступ сам корысти ради), можно ли внедрять на сайты, сервисы и устройства такую однобокую в плане реализации фишку — авторизацию по какому-то внешнему признаку? По-моему, нужно сначала определиться с тем, что такое настоящая безопасность при авторизации, а только затем внедрять новые фичи, однозначно положительно влияющие на эту безопасность.
Телефон, пальцы, глаза, отпечаток уха, да даже ДНК — всё это можно сымитировать или отобрать. Само устройство внешней аутентификации может быть уязвимо. Таким образом кража личности станет более простым делом.
Я не утверждаю, что WebAuthn зло и нельзя им пользоваться. Просто то, как оно работает, не соотносится с тем, как это хотят использовать.
Я нашёл-таки актуальные ФИО генерального директора и написал письмо вот такого содержания, их это устроило. Ключ мне действительно уже прислали.
от (мое ФИО), родившегося тогда-то, паспорт с серией и номером таким-то, выданным (название учреждения и дата выдачи).
Требую выдать секретный ключ для переноса моего домена (имя) из аккаунта в РЕГ.РУ к другому регистратору.
(дата заявления, подпись, мои ФИО.)
Ключ отдал другому регистратору, теперь РЕГ.ГУ должен подтвердить перенос. Потом останется только запретить им обрабатывать мои персональные данные и отношения с РЕГ.РУ закончатся.
И, кстати, они-таки переключили режим с «засыпем псевдоюридическими отписками и угрозами» на «показную любовь к клиентам»: исполнили мою просьбу показать приложения к письму директору координационного центра национального домена: https://www.searchengines.ru/provajder-beget-lishen-statusa.html#comment-3936211098
Либо у них проблемы с логикой (зачем требовать отправить сканы в ответном письме?), либо за часовой промежуток между отправкой письма и ответом усложнили процедуру переноса доменных имён.