Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
Вот слова Горелкина: “Много вопросов (и от пользователей, и от журналистов) приходит по поводу использования электронной почты для входа на сайты. Существует ошибочное убеждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail. Конечно, на российские сервисы переезжать нужно (особенно госслужащим), но для чистоты отношений отмечу: закон не содержит требований к электронной почте, если она используется в качестве логина. Подробный разбор этой истории недавно сделали эксперты РОЦИТ”. (https://t.me/webstrangler/3008)
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)
Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
Вот слова Горелкина: “Много вопросов (и от пользователей, и от журналистов) приходит по поводу использования электронной почты для входа на сайты. Существует ошибочное убеждение, что зарубежная почта скоро окажется под запретом. Некоторые российские почтовые сервисы уже начали использовать этот миф в своих целях, убеждая людей переносить к ним аккаунты с Gmail. Конечно, на российские сервисы переезжать нужно (особенно госслужащим), но для чистоты отношений отмечу: закон не содержит требований к электронной почте, если она используется в качестве логина. Подробный разбор этой истории недавно сделали эксперты РОЦИТ”. (https://t.me/webstrangler/3008)
Вот карточка РОЦИТ: “Правда ли, что с 1 декабря 2023 года запретят авторизацию при помощи иностранной электронной почты? Это не так. Адрес электронной почты в сервисе авторизации используется в качестве логина. Закон не содержит требований к логину, он обязывает установить российский контроль над самим сервисом авторизации. Поэтому не нужно волноваться по поводу использования адреса электронной почты при авторизации на российских сайтах и в приложениях”. (https://t.me/ru_rocit/394)