Сайтам и приложениям нужно срочно менять авторизацию? Gmail и другие иностранные сервисы с 1 декабря — под запретом
Летом появились новости о запрете авторизации через иностранные сервисы. Причина — законопроект №570420-7. Разбираемся с Викторией Стальмаковой, юристом из Рунетлекса, кого касается этот закон, как он будет применяться и что грозит владельцам российских сервисов за его нарушение.
Сразу скажем: в статье нет ответа на вопрос, зачем вводится этот запрет. Предлагаем обсудить версии в комментариях.
Почему в законе использовано слово «авторизация»?
Когда система взаимодействует с пользователем, она может его идентифицировать, аутентифицировать и авторизовать. Дадим определения этим процессам.
Идентификация. Передача недостоверных данных о том, кто обратился в систему. Например, когда вы вводите https://somesystem.ru/profile?my_user_id=15616, вы пытаетесь зайти в профиль пользователя, имеющего ID 15616. Система не знает, являетесь ли вы на самом деле этим пользователем или вы злоумышленник, который хочет получить чужие данные. Тут в дело включается...
Аутентификация. Проверка пользователя на достоверность (логин/пароль, телефон+код подтверждения, email, код из push сообщения, ввод отпечатка пальца, считывание лица и т.д.)
Система спрашивает: «Подтверди-ка, товарищ что ты — это и есть 15616». Вы вводите нечто однозначно определяющее вас, как пользователя 15616. Система сверяет это с данными, которые есть у неё, и, если данные совпадают, процедура аутентификации пройдена, и мы переходим к...
Авторизации. Это разрешение пользователю, успешно прошедшему аутентификацию, определённых действий в системе: просмотр страницы, изменения и т.д.
Система знает, кто вы и какие у вас права. Если права есть, то авторизация пройдена, вы можете что-то делать. Если нет — система об этом скажет.
Скорее всего, в законе речь про аутентификацию, как первую из процедур, при которой происходит попытка входа в защищённую зону системы, проверка валидности и т.д.
На кого распространяется действие нового закона?
С 1 декабря 2023 года владельцы российских сайтов, программ и других интернет-ресурсов обязаны «авторизовывать» пользователей следующими способами:
- С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет.
- Через единую систему идентификации и аутентификации — ЕСИА или Госуслуги.
- С помощью единой биометрической системы по нормам об идентификации и аутентификации физлиц (Госуслуги с биометрией; ст. 9 и 10 Федерального закона от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
- С использованием иной информационной системы или программы, которая отвечает требованиям к защите информации (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Владельцем этой системы должен быть гражданин РФ без второго гражданства или российское юрлицо.
На наш взгляд, именно к четвёртому способу можно отнести «авторизацию» через электронную почту и ID-системы. Главное, чтобы владельцем сервиса было российское юрлицо или гражданин РФ.
Что такое российское юридическое лицо?
На этот вопрос отвечает сам 406-ФЗ:
Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
Из привычных нам способов авторизации станет незаконным, например, Gmail. А Яндекс и Mail.ru? У них же есть иностранные совладельцы. Есть, но на них приходится меньше 50% акций. Так что без паники.
Кто не сможет авторизоваться на российских интернет-сервисах с помощью иностранной электронной почты?
Пользователи, которые находятся в России.
Внимание, вопрос: что значит «находятся в России»? Про это закон ничего не говорит ¯\_(ツ)_/¯
Мы предполагаем, что речь об IP-адресах. Не физическое же местоположение они будут проверять.
Но тут есть проблема. Пока, на наш взгляд, нет технических средств массового использования, позволяющих однозначно определить, находится человек на территории РФ или нет.
Есть такая штука — РАНР. Это клон RIPE, но содержащий очень неполные данные. Непонятно, по какому принципу ресурсы попадают или не попадают в РАНР. Например, там есть Хабр с кипрским юридическим лицом. Плюс непонятно, как скачать его базу, и о публичном API тоже ничего неизвестно.
Есть вот такой список всех адресов РФ: https://lite.ip2location.com/russian-federation-ip-address-ranges?lang=ru. Возможно, рано или поздно нам придётся опираться на него.
А если я сделаю свою почту?
Создать свой почтовый сервер — элементарно. Покупаете домен, арендуете сервер, ставите на него почтовый сервер — и вот вы уже email-провайдер, не нарушающий закон.
Но вот в момент, когда к зарегистрированному email вы добавите имя и фамилию, вы станете оператором персональных данных, который по закону не может хостить почтовый сервер за границей.
Ещё есть вопрос с доменом. Он влияет на «российскость» сервиса или нет? Если да, то какие домены считать российскими — только .рф и .ru, потому что они управляются «АНО Координационный центр национального домена сети Интернет»? Или все кириллические?
Любой домен за пределами РФ регистрируется чужими организациями, а наши регистраторы — это посредники, получившие аккредитацию в ICANN Пока нет каких-то внятных разъяснений я бы опирался на то, что почта - это практически всегда ПДн, а обработка ПДн - это несколько понятнееВ случае е
Если вы — владелец домена в зоне .ru, но используете Gmail-почту, вы передаёте им персональные данные, то есть нарушаете закон.Даже обычное транзакционное письмо с текстом «Иванов Иван Иваныч, ваш заказ создан», отправленное на ящик Gmail, уже нарушает закон, потому что ФИО — это персональные данные.
Так какую почту считать «российской»? Если максимально перестраховаться, критерии будут такими:
1. домен почты .ru или .рф,
2. есть подтверждение, что сервис хранит информацию на территории РФ.
А использование почтового адреса для входа является «авторизацией» через почту? Ээээ...
Система хранит email в качестве логина. Это обычная аутентификация по паре логин-пароль, email-сервис в этом процессе не используется. Почта является в общении системы с пользователем исключительно каналом нотификации.
Причём, даже если пользователь регистрируется с подтверждением через электронную почту, жмёт на ссылку, переходит на сайт, и он подтверждает email, но при этом не авторизует, а просит ввести логин (email) и пароль, система чисто перед законом: отправили пользователю уведомление, он на него среагировал — точка.
Что будет, если нарушить требования
Пока ничего. Законом ответственность не предусмотрена (хе-хе, вспоминаем маркировку рекламы).
Депутат Горелкин А.В. написал в своём телеграм-канале следующее:
Так что делать-то, господа юристы?
Бежать и срочно менять способы авторизации НЕ нужно.
Можно задуматься о разделении пользователей и способов авторизации для тех, кто авторизуется с территории РФ и с территории иностранного государства.
Ждём разъяснений от Минцифры и Роскомнадзора. И, конечно, развития российских ID-сервисов.
Это наша седьмая юридическая статья. Остальные — здесь.
Чтобы не пропускать свежие статьи, подпишитесь:
Строгость российских законов смягчается необязательностью их исполнения :)
Исполнять-то обязательно, а вот наказание пока — кот Шрёдингера.
Все свои нарушения буду аффилировать с вами) скажу что по именно по вашему совету решил не испольнять федеральный закон :) нужно чтобы вы как минимум как сообщник прошли по делу.
Комментарий удален модератором
Ну КАК можно начинать правовой анализ, не определившись со смыслом терминов? А в терминах вся загвоздка и заключается?
Что означает «авторизация»? Технически - это предоставление определенного набора прав УЖЕ идентифицированному и аутентифицированному пользователю.
Итак, имеются понятия: идентификация (определение КТО входит в систему), аутентификация (подтверждение, что входит идентифицированный пользователь, а не кто то другой), авторизация (предоставление набора прав вошедшему пользователю).
Предполагаю, что законодатели под авторизацией подразумевают не авторизацию в буквальном смысле. Но что?
Навскидку предполагаю пару вариантов:
1) Имеется ввиду идентификация при регистрации с аутентификацией через сторонний правильный сервис. Типа при регистрации сайт должен проверять email по белому списку, причем подтверждать через письмо с кодом.
2) Имеется ввиду именно авторизация. Тогда это означает, что через логин/пароль входить на сайты будет нельзя, входить придется через сторонние сервисы, предварительно пройдя там идентификацию и аутентификацию. Имхо, мало кто сможет это реализовать. Да и будет полная зависимость всех сайтов от нескольких сервисов.
И еще несколько проблем:
1) Как определять российскость пользователя? По ip? Но это ненадежный метод. По сути, это кустарный метод. Тогда нужна официальная государственная система, предоставляющая соответствующую информацию, т.е. белый список ip.
2) Как определить российскость стороннего сервиса авторизации? По моему, это без белого (официального) списка невозможно. Еще недавно, если не ошибаюсь, и яндекс и мэйл, и вк формально не были российскими. Уже стали? Как это отслеживать? Имхо, без белого списка нереально.
Борис, вы правы, но в законе написано «авторизация». Какой технический процесс имеют в виду, не уточняется.
«Как определять российскость пользователя? По ip?» — в законе про это ничего не сказано, но мы думаем, что это единственный рабочий вариант, потому что речь идёт о местоположении, а не гражданстве.
«Как определить российскость стороннего сервиса авторизации?» — только по структуре собственности. Реестра нет.
«Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.»
Верно отмечено, запрещена авторизация, а ее никто с помощью Gmail и не делал, только аутентификацию.
.. с другой стороны.. любое физ лицо и даже IoT девайс, выходящий через gprs, lte связь уже выполнил авторизацию через номер телефона опсоса в момент подключения к сети и получил права на скачивание публичных материалов.
Идентификация, она же аутентификация - пользователь уже есть в системе, его надо узнать и предоставить соответствующие сервисы.
Авторизация - пользователя нет в системе, надо создать и предоставить новому пользователю соответствующие сервисы.
Согласен с вами. Авторы владеют семантикой терминов на бытовом уровне.
Исходя из базового опредления термина "авторизация" (предоставление прав для выполнения каких-либо действий) необходимо осуществить идентификацию субъекта получения этих прав.
Просмотр любого содержимого любого сайта в сети "Интернет" это уже предоставление таковых прав.
Таким обрзом, чтобы правильно исполнить требования предлагаемого закона нужно при любом входе любого субъекта идентифицировать его, аутентифицировать и уже на этом основании предоставить какие-либо права (получение доступа к материалам на чтение, отпавку и т.д. и т.п.)
Я почитал "Закон о связи". Может быть я плохо смотрел, но там нет четкого разъяснения что такое авторизация, что есть идентификация. (в законе мелькает слово "аутентификация", а также "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" )
Более того в поправках по духу подразумевается именно "идентификация", а на "авторизация". Правоохранительные органы хотят иметь возможность быстро выстроить связь user78654211 - это Василий Кузьмич Пупкин, дата рождения, паспорт серия номер, место регистрации.
Если в офисе (допустим речь про университет и студентов) я имею возможность видеть людей лично, подтверждать их личности. То нет разницы как студенты авторизуются на институтском портале. Если кто в форуме ВУЗа напишет плохие призывы, к нему в гости быстро придет товарищ майор.
Договоры регистраторов доменных имен - давно по паспортным данным! Сделано было давно, чтобы владельцев сайтов в зоне RU с плохим содержимым быстро находить. И какой там логин, авторизация, у регистратора, не важно.
Надо было четко прописать, что речь идет про идентификацию, что такое идентификация, и что есть 2 вида идентификации - прямая, когда владелец сайта, приложения сам знает персональные данные своих пользователей. И вторичная, когда используется сторонний сервис, и сторонний сервис знает данные пользователей. Сторонний сервис - это оператор мобильной связи, или сервис типа Яндекса, Вконтакте, Гоуслуги, и т.д. который также может деанонимизировать пользователя. Госуслуги деанинимизируют напрямую, ВК, Яндекс - через операторов мобильной связи. Нужно было еще ЭЦП в поправки добавить.
Очень низкое качество поправок к закону на мой взгляд. Другие места в законе были прописаны очень качественно и подробно.
Комментарий удален модератором
Красопеты. Какими конкретно сервисами пользоваться можно — хз, что будет, если пользоваться «вражескими» — хз. 👏🏻
Как обычно, потом просто распил бюджета подведут под это дело или назначат очередного Единого, бляха, регистратора. А чтобы получить эту почту, пройти надо в военкомат, 7-й кабинет, там те и почту выдадут и по почкам заодно, что медленно шёл.
Какими конкретно сервисами пользоваться можно — это как раз понятно. А вот как будет проверять местонахождение пользователя и соблюдение закона, и как будут наказывать — вот это непонятно.
Тааак... Решили подсказать проэкт закона о средней скорости хода в военкомат? Они же в серьез воспринимают. Тем более что сегодня пятница. После бани с бля*ями потянет закон какой - нить написать. О! Хрошая идея! И патриотично и скрепно и много ума не нужно!😆 Личное мнение.
Все направлено на то, чтобы данные не утекали на сервера за границей.
Им еще расскажи про embed-вставки с других сайтов на JS – они за сердце начнут хвататься.
На монополизм mail.ru и yandex это направлено. Данные прекрасно утекают и без серверов за границей. (Вспомните последний год).
:)
Написано сумбурно и ни хера не понятно. Предположим у кого-то интернет магазин сантехники или приложение по садоводству, в которых нужно регистрироваться, для получения услуг. Тематику специально назвал далекой от политики и новостей. Что делать и кто и как будет проверять систему регистрации?
Наверное, потому что такой закон :)
Попробую проще: всем российским сервисам/сайтам/приложениям, вне зависимости от рода деятельности или сферы, нельзя авторизовывать людей, находящихся на территории России, с помощью иностранной почты или другого ID-сервиса.
Проверять будет Роскомнадзор. Как — неизвестно. Какое наказание — непонятно.
А как определять что почта российская? Вот я хочу написать свою авторизацию, есть какой то реестр российских почт?
Чего тут непонятного. У вас уже сейчас пачка законов по хранению персональных данных. Бери первого попавшегося - и штрафуй. До 700 тысяч, насколько помнится.
И много таких оштрафованных? Я о паре случаев за минувшие 100 лет слышал от деда, но он вообще приврать любит.
А знают ли ребята из Думы про почты на корпоративных доменах — как проверять их принадлежность? А как быть, если эта почта хостится на Гмэйл — по ней можно авторизовывать? А если свой почтовый сервер в облаке, но хостится он на Амазоне, например?
Ребята не знают и не думали. Очевидно, что закон составлен будто в каком-то вакууме и не учитывает тонкости организации электронной почты. На мой взгляд закон, в том виде, в каком он написан, просто нереально будет исполнять и контролировать его исполнение. Скорее всего будут отслеживать только крупные и госсайты, а также отрабатывать по жалобам особо упоротых (недовольных, что им позволили зарегистрироваться с иностранной почтой).
"в статье нет ответа на вопрос, зачем вводится этот запрет." - жаль,это как раз и интересует
Понимаю. Но мы не законодатели и не можем заглянуть в голову депутатам. Может, это часть проекта «Суверенный интернет»?
ходят слухи уже полгода, что ютуб хотят заблокировать, но якобы это технически сложно. казалось бы, а что тут сложного? ютуб не телеграм, скакать не будет, забанил по ip и дело в шляпе. что мешает?
а прикол в том, что у гугла сервера используют общие ip для разных сервисов, баня ip, к которым обращался один, можно поломать другой
в настоящий момент идет процесс обезгугливания, если так сказать, что б блокировка соседних сервисов прошла незаметно.
маркет пытаются заместить рустором
юутуб рутубом
браузер яндексом и атомом (якобы из-за проблем с сертификатами)
вот щас до почты дошли. так что внутри рф почта может тоже перестать открываться, если блочить ютуб. видимо, смысл в этом
то, что гугл используется для доставких всех пушей в большинстве приложений с gms, скриптов, стилей, библиотек на cdn, там еще не разобрались
то, что таких китов, как cloudflare, google, akamai и amazon категорически трогать не стоит, там еще не в курсе
Ну да, опять надо платить сервисам за подвыперты толстозадых. Заходишь и тебя спрашивают, ты бро из РФ, на тебе скрепную форму авторизации, а импортный буржуй - на тебе другую форму. В итоге разрабам очередной геморрой в стране сюрреализма.
по кр мере разрабам геморрой оплачивают. А вот владельцам ресурса - нет.
У меня для всяких шопов емейл на Мейл. Ру.
Аналогично. Яндекс и Mail.ru.
У каждого уважающего себя интернет пользователя несколько мейлов под разные задачи
настоятельно запрещаем, принудительно рекомендуем)
Спасибо за статью, забрали к себе в канал.
Пожалуйста!
аутентификации
Кстати, может, они действительно имеют в виду авторизацию?
Аутентификация — право доступа к данным пользователя. В профиле пользователя может быть разрешённый российский телефон и запрещённый email. Право у «пользователя» есть, но сервисы должны будут запретить сам доступ, если человек захочет авторизоваться с территории России с помощью запрещённого сервиса.
Непонятно пока)
Законодатели используют слово «авторизация».
Поражены в правах лица с 2 и более гражданствами. И массы пользователей, привыкшие свободно пользоваться интернетом.
В цитате вроде: «Те, кто зарегистрировался ранее, сохраняют свой доступ. Новая норма касается только ресурсов, где есть регистрация»...
Типа речь не про авторизацию, а про регистрацию?
В законе про авторизацию.
а если почта на своем домене?
Если почтовый сервис российский, но домен com?
Если мы всë правильно понимаем, важно, какое юрлицо владеет доменом.
Спасибо за статью, есть вопрос по ситуации.
Делаю новую площадку АКА «Российский Продакт Хант» и до всех этих событий хотел реализовать регистрацию/авторизацию через своего телеграм-бота. После выхода закона не понятно, можно ли реализовать так или придется приоритетным способом регистрации сделать емейл, а бота оставить как доп фичу?
Авторизовывать людей, находящихся на территории России, можно будет только через российские сервисы. Тех, кто находится за пределами РФ, можешь авторизовывать как хочешь.
Российским считается сервис, который принадлежит юрлица, находящемуся под контролем РФ/субъекта РФ/муниципального образования/гражданина РФ без второго гражданства. Контроль в контексте 406-ФЗ означает возможность распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал. Получается, что иностранное участие в информационных системах может быть, но менее 50%.
К этому времени уровень паранойи поднимется ещё на несколько уровней и потребуется уже доказывать что "гражданин Продакт Хант из дружественной страны, поддерживает курс и цели и неистово хочет получить гражданство РФ" (справку из МВД и МИД с визой тов.майора большим баннером на гл.странице 😆
Хорошая идея, чтобы потерять часть аудитории
Комментарий недоступен
«С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет»
А сейчас владелец сайта, где есть авторизация по номеру телефона, заключает договоры с операторами связи?
Нет, обязанности заключать нет. Но последние годы всё идёт к тому, что отправка транзакционных и авторизационных СМС возможна только по договору с фиксированной платой за наименование отправителя или без таковой, но по гораздо более высоким тарифам. Поэтому любой бизнес, активно отправляющий СМС с кодами авторизации, по сути так или иначе договор имеет.
Уже 10 раз разжевывали, что вопрос не про почту, а про авторизацию через сам google, apple, github и прочих провайдеров.
Где разжевали? Есть официальные комментарии?
тогда почему закон написан так, как будто авторы употребляли запрещёнку?
Очередной идиотский закон на подходе. Интересно, стоимость перехода на альтернативную авторизацию государство собирается компенсировать? Или как всегда?
Всем выходные (за ваш счёт). Знакомая история
Давно пора иметь 2 почты, а то и 5 ) для разных нужд + мощный платный ВПН впридачу
Закон мне кажется своего рода предупреждение. Как опыту санкций на Китайский HUAVEI который стал без гугл сервисов показывает что в любой момент вы можете остаться без гугл почты и тд. а дальше делайте выводы сами...
Очень похоже на то. Сначала предупредительный выстрел, потом и наказание появится.
Регистрация через Госуслуги как вариант наказания администраций сайтов за попустительство ботам)))))
Жестоко!
А что такое "российский сайт"? Понял, по юрлицу определяется.
Причем тут гражданство? Вы же говорите о местонахождении пользователей.
Гражданство не при чём. Мы ровно об этом и говорим.
Правильно нечего владельцам условного gmail приезжать в РФ, пусть авторизовываются за бугром.
А в каких популярных западных сервисах я смогу зарегиться с почтой ***@mail.ru, например?
А в каких пытались?
Вроде в любых
Если почта например на своем домене, как узнать можно ему с такой почтой регистрироваться или нет?) Понятно гымэйл, яху можно фильтровать для российских айпи, но теоретически могут быть почты на любых доменах.
Второе, если россиянин заходит через впн и определяется как иностранец, ему что, можно регистрироваться под гымайлом?)
Третье, а если у авторизация без почт, просто по любому набору символов логин/пароль, как быть в этом случае?
Первое: непонятно.
Второе: да.
Третье: см. четвёртый пункт закона. Он максимально широкий.
Комментарий недоступен
«С использованием номера мобильного телефона на основании договора об идентификации между владельцем ресурса и оператором связи. Требования о том, что оператор связи должен быть российским юрлицом, в законе нет»А сейчас если есть авторизация по номеру телефона, владелец заключает договор с операторами связи?
я, если честно, не понял этот пункт.
что за способ авторизации через абонентский номер владельца ресурса? как это должно выглядеть?
т.е. субъект запроса прав доступа (пользователь сайта) должен что сделать? заходит на сайт, а его направляют в окошко авторизации опсоса. он там авторизуется (пусть через смс) и оператор уже направляет его на сайт? а дальше как? если у человека есть лк он сразу попадает в него? а если он не хочет сразу в лк.
Комментарий недоступен
Не исследовали.
Комментарий недоступен
Для чего это надо? Для дальнейшего анального огораживания.
А зачем вообще email/телефон просить при регистрации?
Сделайте как в даркнете - придумай логин и пароль, если забудешь - придумаешь снова, а старый твой акк (и все шекели на нём) пропадёт.
Комментарий недоступен
Через почту яндуха? Наверняка. Но вообще обычно через сторонние сервисы авторизация идёт.
Так давно ж есть авторизация через вк например. Говорят, можно через очколазники, но я ссу проверять. Даже на порнхабе подтверждение возраста через вк есь – для меня друг спрашивал. Ой, то есть наоборот.
Комментарий недоступен
Прочитал несколько раз, но до конца не понял. Есть у меня обычный бесплатный сайт-сервис в интернете. Регистрация по электронной почте и паролю. Юрлица нет. Оплату не принимаю. Мне теперь типа надо фильтровать тех, кто при регистрации указывает иностранную почту?)
Да.
Маразм крепчал после запрета на почты из иностранных сервисов
Кстати, вопрос возник.
Есть российская контора "рога и копыта" со своей почтой.
И тут компанию покупает иностранная фирма.
Остается возможность пользоваться почтой?
Судя по всему, нет.
Свол*чь Путин!!! Тв@ри российские власти!!!!
Это была македонская критика французской мысли?
Попахивает суверенным интернетом
Так и не поняла, что делать...
На почту гугл пришло письмо что "С 1 декабря 2023 года вступит в силу новый закон* — и вход на российские сайты через иностранные сервисы авторизации перестанет работать". Ноо как я буду заходить на тот же ютуб и получается что я есди не успею, то потеряю канал.... навели суету в 4 часа ночи спасибо