Путин подписал закон о запрете регистрации на российских сайтах через иностранные сервисы Статьи редакции

маленький нюанс: список способов авторизации закрытый, всего 4 варианта: 1) мобила 2) госуслуги 3) биометрия 4) другой ресурс принадлежащий россиянину. А на этот "другой ресурс" распространяются те же самые 4 ограничения 1,2,3 и 4. И всё, круг замкнулся, больше никаких вариантов

ну да, а под 4й подпадает сам сайт, то есть обычная авторизация по логину и паролю

и логин может быть почтой и на gmail или где-то еще, главное чтобы авторизацию проводил сам сайт, а не через кого-то

"сам сайт" так же ограничен 1,2,3. Нет варианта "по логину и паролю"

нет, сам сайт – это 4й пункт

он российский сервис и он проводит авторизацию пользователя по логину и паролю, что вас не устраивает?

есть, 4й вариант

"он российский сервис и он проводит авторизацию пользователя по логину и паролю, что вас не устраивает"

этот "российский сервис" может и по логину/паролю и через гугл/эппл/фб*(*запрещенный) ? Можно ж запросто выстроить цепочку из нескольких OAuth где в начале российский сервис, а в конце вражеский. Или какие-то варианты все-таки не может? Если что-то может, а что-то нет, то почему?

нет, если через кого-то, значит этот сервис уже не сам авторизует и не подпадает под 4й пункт

авторизация только в одном месте происходит, или сам сервис это делает или использует сторонние провайдеры авторизации, сторонние ограничены списком

Вообще-то, депутаты, которые этот закон протаскивали с вами не согласны.

Глава комитета по информполитике ГД Хинштейн поясняет: "...регистрация через электронную почту или аккаунт в социальных сетях, но обязательно российских... При помощи, например, gmail.com зарегистрироваться будет невозможно. Также невозможно будет зарегистрироваться через Apple ID..."

так в законе вообще ничего про регистрацию)
там только про авторизацию

он про авторизацию говорит тут, очевидно он путает понятия

авторизироваться через google нельзя будет, а региться с gmail почтой как логином никто не мешает, если авторизация делается на сайте

Строго говоря, через Apple ID - это аутентификация, а не авторизация, т.е. как бы тоже мимо.

Да, в тексте закона про регистрацию не слова. Но важно ведь не то, что написано у нас в законах, а то, как это интерпретируется. А чтоб понять это, повторюсь, почитайте комментарии депутатов Горелкина и Хинштейна, и оба они говорят про регистрацию.

Например, цитата Горелкина из его ТГ-канала (он считается автором закона): "Мы считаем, что идентификатор российских пользователей должен быть привязан к российскому номеру телефона, __электронной почте в доменах .ru и .рф__, «Госуслугам» или биометрии"

что надо соблюдать написано в самом законе, а депутаты никак не интерпретируют закон, они не исполнительная власть, а законотворческая,

есть текст, а интерпретировать его могут суды и верховный суд

по тексту закона там регистрацию нигде не притянуть, там только про провайдеры авторизации идет речь, и там нигде не запрещено самому сайту авторизовывать по логину и паролю

Т.е. вы считаете, что авторы закона сами не знают, чего написали? И попробуйте угадать, откуда суды будут брать пояснения, что такое "авторизация" и "иные информационные системы", о которых идет речь в тексте закона

закон очевидно писал не Хинштейн, иначе бы он говорил не про регистрацию, а про авторизацию

что такое авторизация вроде вполне понятно, если при каждом логине на почту не присылается код, то притянуть почту к методу авторизации вряд ли возможно

по итогу смысл закона только в том, чтобы условные ФБР не могли зайти на какой-то российский сервис под видом условного Хинштейна, используя западные OAuth

Закон внесен депутатом Горелкиным, и он говорит то же самое, что и Хинштейн. Текст написан не профессионалами, иначе не было бы таких неопределенностей. Мы с вами можем только гадать, что подразумевается под термином "авторизация", равно как и о смысле закона, а это уже та самая интерпретация, о которой я говорил выше.

Кстати, при аутентификации на сайте hh.ru код присылается каждый раз. Не говоря уж о том, что при первичной аутентификации, как правило, на почту высылается письмо для подтверждения.

ну кто вносил не так важно, писали наверняка не они, а кто-то еще (например ФСБ или Управление К МВД),

это очевидно же, если они говорят о регистрации, а в тексте ничего нет про регистрацию, если бы писали они, то пользовались бы терминами как в законе)

это не аутенфикация, при первичной регистрации этот код просто проверка, что почта рабочая, и без него можно обойтись,

и какие-то особые права в зависимости от адреса почты не даются, это просто логин,

аутенфикация и авторизация происходят по паре логин/пароль, и логин может не совпадать с почтой или почту вообще могут не просить при регистрации (тем более сейчас она и не у всех есть)

Угу, когда СМС приходит при двухфакторке или код на мыло - это просто проверка, что телефон и почта рабочие. Вот так будем потом оправдываться

эм, для вас все коды одинаковые?

когда при логине надо ввести код – это одно,

когда надо ввести код для подтверждения почты при регистрации – это другое

можете не отправлять код на почту при регистрации (как многие сайты и делают) и все будет работать точно так же,
значит по вашей логике раз кода нет, то теперь на сайте нету авторизации?) чудеса да и только

Во-первых, я лишь вашу же логику применил к другим кейсам. И да, назначение кодов по всех этих кейсах по смыслу одинаково. Сама суть не в том, что это за код, суть в процессе.

Во-вторых, вы, видимо, как и писатели закона, путаете аутентификацию и авторизацию. Авторизации никогда не бывает без аутентификации, и авторизация - это всегда внутренний процесс ресурса, на который заходит пользователь

Я ничего не путаю, мы говорим о получении прав на сайте. Весь этот процесс называется авторизация.

Аутенфикация это только шаг в авторизации, конечная цель о чем говорим и о чем закон – это авторизация. Если вы проводите аутенфикацию, но это не ведет к получению каких-то прав на сайте, то и закон тут не применяется, там обсуждается конкретно авторизация.

нет, назначение кодов тут разное, я выше вам уже привел контрпример

при регистрации код можно не отправлять на емейл и ничего не поменяется, юзер сможет и зарегистрироваться и сможет авторизовываться на сайте по логину и паролю, то есть этот код не играет роли для аутенфикации и авторизации

при одноразовом пароле присылаемом на емейл или по смс, юзер без кода не сможет зайти

очевидно что назначение у кодов разное

и вы проигнорировали, что я написал, что многие сайты даже не отправляют код на емейл, или отправляют, но можно работать и без ввода кода, просто почта будет не подтвержденная

вы если спорите, то отвечайте на аргументы, а не просто повторяйте одно и то же, что коды одинаковые)

Да, согласен, что логин может не совпадать с почтой, и регистрация может быть без подтверждения, но это лишь означает, что процесс выполняется без сторонних сервисов. Равно как одни сервисы могут использовать двухфакторную аутентификацию, другие нет, т.е. в одном случае код высылается по СМС или на мыло, в другом - нет, но в обоих случаях это - процесс аутентификации.

И наберите уже, наконец, в поисковике "аутентификация и авторизация", чтобы уяснить, что эта два РАЗНЫХ процесса. Когда юзер вводит логин и пароль - это аутентификация, когда с сайта идет редирект, скажем, на Яндекс ИД - это тоже аутентификация, когда вместо логина/пароля вводит телефон и код из СМС - и это аутентификация. А авторизация выполняется на сайте ПОСЛЕ аутентификации и, как правило, без привлечения сторонних систем. Не хочется цитировать сюда куски мануалов, объясняющие различие между аутентификацией и авторизацией, она однозначно есть, и так называемая "авторизация" по схемам, описанным в законе - это бред.

вообщем вы путаете подтверждение данных и аутенфикацию,

вход по логину/паролю, или OTP (одноразовый ПАРОЛЬ) на почту при логине – это аутенфикация,

код при первичной регистрации на почту, или требование загрузить скан паспорта, или еще какие-то проверки – это не аутенфикация, это проверка введеных сведений, ее могут делать, ее могут не делать, к аутенфикации это уже никак не относится,

юзер уже имеет уникальный логин и пароль и именно по ним его аутенфицируют на сайте, точка

аутенфикация происходит только в момент когда вы логинитесь на сайте и система сверяет логин и пароль, читайте, тут все доступно изложено:
https://www.kaspersky.ru/blog/identification-authentication-authorization-difference/29123/

То, что вы погуглили - уже хорошо. Так прочитайте очень внимательно по вашей же ссылке, что такое авторизация - суть ровно такая, как я выше писал: "авторизация выполняется на сайте ПОСЛЕ аутентификации и, как правило, без привлечения сторонних систем".

А теперь почитайте еще раз текст закона: вход на сайт с помощью СМС-пароля - это что? А через Госуслуги - это что? А двухфакторка с кодом на мыло - это что? Это все аутентификация, о которой я постоянно выше говорил, а вовсе не "авторизация", которая упоминается в законе.

По поводу регистрации спорить бесполезно, как я понимаю

так я погулил для вас, у меня с этим путаницы нет

мы спорили про проверочный код на почту, а не про это, насчет закона я уже выше все написал, и если вы его почитаете там говорится про системы идентификации и аунтефикации

угу, вы столько тут выступали, что надо погуглить, теперь я дал конкретный текст с определениями, где все разжевано – и сразу спорить стало бесполезно)

ведь там очевидно, что вы неверно понимаете аутенфикацию, и что проверка почты это не аутенфикация,
а ею является проверка логина с паролем, о чем я вам и писал

Вы то утверждали, что аутентификация и авторизация одно и то же ("аутентификация и авторизация происходят по паре логин/пароль", хотя это не так), то что аутентификация - это часть процесса авторизации (хотя это разные процессы). В итоге, почитав, наконец, определения, решили говорить только об аутентификации (о которой в законе ни полслова).

Спорить бесполезно, потому что мы с вами абсолютно по разному смотрим на процесс подтверждения мыла при регистрации. Моя позиция как была, так и не изменилась: если при регистрации необходимо подтверждать мыло, то смысл в этом действии ровно тот же, что при двухфакторной аутентификации - подтверждение, что юзер имеет доступ к указанной почте. Да, это требуется не всегда и не везде, точно так же, как двухфакторная аутентификация с обязательным подтверждением доступа к мылу используется отнюдь не всегда и везде.

В обоих случаях мы не можем утверждать, что на сайте владелец мыла, мы лишь убеждаемся, что этот юзер имеет доступ к мылу - только это и ничего иного. Поэтому я утверждаю, что там, где есть регистрация с обязательным подтверждением, без которого невозможна авторизация (в полном смысле этого термина) - в этих случаях (ТОЛЬКО в этих случаях, а не при любой регистрации) аутентификация является неотъемлемой частью регистрации.

Но у вас своя точка зрения - тут играем, там не играем, тут подтверждение для одного, там для другого. Вы свои аргументы высказали, я тоже сто раз высказал, ваши не убеждают меня, мои вас, и именно поэтому спорить бесполезно, а вовсе не потому, что вы, наконец удосужились термины погуглить. Я ясно излагаю?

я не говорил что это одно и то же, вы это додумали за меня

я вам выше писал, что авторизация это получение прав на сайте, и что для этого нужна аутенфикция, и в итоге и для аутенфикации и для авторизации надо проверить логин и пароль, поэтому в законе не занудствуют, как вы, и пишут просто про авторизацию,
вот смысл того о чем я вам писал выше, может я не так четко выразился

я вам выше уже писал почему ваша позиция неверна – процесс логина заканчивается на моменте ввода логина и пароля – после их ввода всё, юзер уже аутенфицирован на сайте,

при двухфакторной аутенфикации он не залогинен пока не введет все коды,

а при регистрации, когда код для проверки почты, он залогинен сразу как вводит логин и пароль, просто права на сайте не все имеет

если для вас важнее, что и там и там идет код на почту, а не что процесс логина уже прошел, просто показывает, что вы не понимает, что такое аутенфикация)

это дичь говорить, что юзер еще не аутенфицирован, если процесс логина уже прошел

Кажется, у вас проблемы с пониманием текста на русском языке, или вы читаете как-то выборочно. Перечитайте еще раз мое предложение в комменте выше, где я пишу "ТОЛЬКО в этих случаях". Неужели не понятно?

я все прекрасно прочитал, еще раз, есть определение аутенфикации, и она заканчивается после логина,

дальнейший подъем прав, после проверки данных (почты, паспорта, чего угодно) – это уже не аутенфикация

что вам кажется это одинаковые процессы, потому что и там и там код на почте, я прекрасно понял, но это ваше личное понимание и оно не верное

Для тех, кто в танке еще раз: "там, где есть регистрация с обязательным подтверждением, без которого невозможна авторизация". Т.е. пока почту не подтвердишь, ты не получишь доступа к личному кабинету, каким-то разделам и пр., т.е. без подтверждения мыла никакого "логина" (в вашей непрофессиональной терминологии) не получишь. Но вы, видимо, никогда в жизни с таким не встречались, поэтому для вас этого не существует

причем тут авторизация?
что права на сайте еще не полные, не значит что аутенфикация уже не прошла

для тех кто в танке, я выше уже два раза написал, что могут проверять не только почту, но и скан паспорта, и селфи, и счет в банке, и много что еще – и это все уже не аутенфикация, а проверка данных в соотвествии с бизнес логикой сайта

аутенфикация заканчивается на логине, все

Разговор глухого с немым. Я не знаю, как сделать так, чтоб вы читали не через строчку, а все слова, что я пишу, да еще чтоб до вас дошло написанное. Всё, я пас, вы победили, взяли измором

вы ставите телегу впереди лошади,

цель аутенфикации только удостовериться, что юзер правильный, тот самый, который был зареган в первый раз, с теми самыми credentials

когда он только регится, вы еще не проверяете, что юзер правильный, вы только устанавливаете его первоначальные credentials

и проверяя ПРИ РЕГИСТРАЦИИ, что у него есть доступ к емейлу, вы никак не подтверждаете, что юзер правильный, вам еще не с чем сравнивать, это только прописывание его данных в системе

аутенфикация происходит, только при СЛЕДУЮЩИХ ВХОДАХ, когда он уже зарегистрирован,
и если вы проверяете, что у него есть доступ к емейлу, посылая код, ТОЛЬКО ТОГДА вы проверяете, что этот юзер правильный, тот же самый, что был зареган в первый раз

а в обсуждаемом кейсе при входах после регистрации, на емейл уже ничего не проверяют, а он входит только по логину и паролю,

поэтому нет, емейл тут не используется для аутенфикации

Я уже отвечал на это неоднократно: вы не можете убедиться, что юзер "тот самый, который был зареган в первый раз" даже теоретически. Вы можете лишь только убедиться, что данный юзер имеет доступ емейлу/телефону. Всё, больше ничего абсолютно о юзере вы узнать не можете. Т.е. абсолютно то же самое, что происходит при регистрации (дальше важное уточнение, которое предыдущий оратор так и не смог понять), если сервис не пускает в закрытую зону для зарегистрированных юзеров без подтверждения мыла/телефона

давайте отталкиваться от общепринятых определений, а не от того, что вы придумали, аутентификация это проверка подлинности пользователя:

чтобы проверять подлинность, этот юэер уже должен быть зареган в системе

вы сами не понимаете, что в этом нет никакой логики?

процедура аутентификации проводится при каждом заходе на сервис, и если юзера аутентифицируют через почту, то это должно делаться каждый раз, а не только один раз при регистрации

зачем его надо аутентифицировать только 1 раз через почту? почему это делается только на первый раз, а не на 5-й или 10-й?
почему в первый раз нас заботит проверка его доступа к его емейлу, а потом нас это уже не заботит?

вообщем в вашей интерпретации нету смысла

а если почта в домене ру, но привязан к почте gmail?