Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом

Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.

Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря —  под запретом
6565

Ну КАК можно начинать правовой анализ, не определившись со смыслом терминов? А в терминах вся загвоздка и заключается?

Что означает «авторизация»? Технически - это предоставление определенного набора прав УЖЕ идентифицированному и аутентифицированному пользователю.

Итак, имеются понятия: идентификация (определение КТО входит в систему), аутентификация (подтверждение, что входит идентифицированный пользователь, а не кто то другой), авторизация (предоставление набора прав вошедшему пользователю).

Предполагаю, что законодатели под авторизацией подразумевают не авторизацию в буквальном смысле. Но что?

Навскидку предполагаю пару вариантов:

1) Имеется ввиду идентификация при регистрации с аутентификацией через сторонний правильный сервис. Типа при регистрации сайт должен проверять email по белому списку, причем подтверждать через письмо с кодом.

2) Имеется ввиду именно авторизация. Тогда это означает, что через логин/пароль входить на сайты будет нельзя, входить придется через сторонние сервисы, предварительно пройдя там идентификацию и аутентификацию. Имхо, мало кто сможет это реализовать. Да и будет полная зависимость всех сайтов от нескольких сервисов.

И еще несколько проблем:

1) Как определять российскость пользователя? По ip? Но это ненадежный метод. По сути, это кустарный метод. Тогда нужна официальная государственная система, предоставляющая соответствующую информацию, т.е. белый список ip.

2) Как определить российскость стороннего сервиса авторизации? По моему, это без белого (официального) списка невозможно. Еще недавно, если не ошибаюсь, и яндекс и мэйл, и вк формально не были российскими. Уже стали? Как это отслеживать? Имхо, без белого списка нереально.

12

Борис, вы правы, но в законе написано «авторизация». Какой технический процесс имеют в виду, не уточняется.

«Как определять российскость пользователя? По ip?» — в законе про это ничего не сказано, но мы думаем, что это единственный рабочий вариант, потому что речь идёт о местоположении, а не гражданстве.

«Как определить российскость стороннего сервиса авторизации?» — только по структуре собственности. Реестра нет.

«Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.»

2

Верно отмечено, запрещена авторизация, а ее никто с помощью Gmail и не делал, только аутентификацию.

2

.. с другой стороны.. любое физ лицо и даже IoT девайс, выходящий через gprs, lte связь уже выполнил авторизацию через номер телефона опсоса в момент подключения к сети и получил права на скачивание публичных материалов.

1

Идентификация, она же аутентификация - пользователь уже есть в системе, его надо узнать и предоставить соответствующие сервисы.
Авторизация - пользователя нет в системе, надо создать и предоставить новому пользователю соответствующие сервисы.

1

Согласен с вами. Авторы владеют семантикой терминов на бытовом уровне.
Исходя из базового опредления термина "авторизация" (предоставление прав для выполнения каких-либо действий) необходимо осуществить идентификацию субъекта получения этих прав.
Просмотр любого содержимого любого сайта в сети "Интернет" это уже предоставление таковых прав.
Таким обрзом, чтобы правильно исполнить требования предлагаемого закона нужно при любом входе любого субъекта идентифицировать его, аутентифицировать и уже на этом основании предоставить какие-либо права (получение доступа к материалам на чтение, отпавку и т.д. и т.п.)

Я почитал "Закон о связи". Может быть я плохо смотрел, но там нет четкого разъяснения что такое авторизация, что есть идентификация. (в законе мелькает слово "аутентификация", а также "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" )
Более того в поправках по духу подразумевается именно "идентификация", а на "авторизация". Правоохранительные органы хотят иметь возможность быстро выстроить связь user78654211 - это Василий Кузьмич Пупкин, дата рождения, паспорт серия номер, место регистрации.
Если в офисе (допустим речь про университет и студентов) я имею возможность видеть людей лично, подтверждать их личности. То нет разницы как студенты авторизуются на институтском портале. Если кто в форуме ВУЗа напишет плохие призывы, к нему в гости быстро придет товарищ майор.
Договоры регистраторов доменных имен - давно по паспортным данным! Сделано было давно, чтобы владельцев сайтов в зоне RU с плохим содержимым быстро находить. И какой там логин, авторизация, у регистратора, не важно.
Надо было четко прописать, что речь идет про идентификацию, что такое идентификация, и что есть 2 вида идентификации - прямая, когда владелец сайта, приложения сам знает персональные данные своих пользователей. И вторичная, когда используется сторонний сервис, и сторонний сервис знает данные пользователей. Сторонний сервис - это оператор мобильной связи, или сервис типа Яндекса, Вконтакте, Гоуслуги, и т.д. который также может деанонимизировать пользователя. Госуслуги деанинимизируют напрямую, ВК, Яндекс - через операторов мобильной связи. Нужно было еще ЭЦП в поправки добавить.
Очень низкое качество поправок к закону на мой взгляд. Другие места в законе были прописаны очень качественно и подробно.