С 1 декабря заработал запрет на авторизацию в рунет-сайтах и сервисах с иностранной электронной почты. Gmail всё? 🙈

Что нужно знать о вступившем в силу законе, как к нему подготовиться, и касается ли это пользователей вашего сайта (если он, конечно, у вас есть). А также небольшие предновогодние гадания “А зачем все это было нужно?”

Президент РФ Владимир Путин подписал закон от 31.07.2023 №406-ФЗ с поправками к ФЗ «Об информации, информационных технологиях и о защите информации» и ФЗ «О связи» (законопроект №570420-7) о запрете с 1 декабря 2023 года авторизации на российских сайтах и других интернет-ресурсах с помощью иностранной электронной почты.

Федеральный закон на pravo.gov.ru

Хороший комментарий юриста на vc.ru

Реакция it-сообщества на хабр

На проводе Сергей Коваленко. Я основатель Tolstoy Comments. Это система комментирования с геймификацией для сайтов медиа и образовательных проектов. Раз в полгода пишу статьи на vc.ru (1, 2, 3, 4 и пусть будет 5), когда особенно что-то болит. А случай именно такой, поправки к закону затрагивают весь сегмент наших клиентов из РФ. Если вам посчастливилось быть владельцем сайта в 2023-м году, и там есть форма авторизации, то и вас это касается, зажмурьтесь. Я прочитал по теме нового закона все, что есть в сети, пообщался с юристами, налил коньячку и требую дискуссии.

Обратной силы закон не имеет. Выдохнули. Те юзеры, которые уже зарегистрированы на вашем сайте, под действие закона не попадают. Как логинились под gmail и icloud, так пусть и логинятся. Во всяком случае пока.
Четкого вайтлиста разрешенных почтовых доменов пока нет. Авторы закона в своих комментариях упоминали, что точно будет разрешена почта от яндекса, мейла, рамблера. Как будет контролироваться корпоративная почта, даже если она хостится на тех же яндекс серверах, - непонятно. Будет ли как-то осуществляться проверка DNS и MX – узнаем в следующем году.
Дело касается не только почт, но и логина через социальные сети. Разрешены только операторы, владельцами которых более чем на 50% являются российские граждане. Со структурами владения ВК и яндекса не совсем все понятно. Но от тех же авторов закона они звучали. Якобы будет разрешена авторизация через ОК, ВК, яндекс, мейл, рамблер. Про телеграмм ни слова 😒. Кстати, тут возникает забавная коллизия. Что если ваш ВК зареган на gmail и до сих пор не привязан к номеру телефона? В свой профиль вконтакте вы зайти не сможете, но логиниться на других площадках - запросто (мы проверили). Впрочем, эта лавочка закрывается на раз-два-три.
Закон касается только пользователей из России. Т.е если у вас на сайте присутствует зарубежная аудитория, авторизовывать ее через условный “яндекс” вы не обязаны. Как идентифицировать юзера при этом, тоже не уточняется. Никаких официальных каталогов российских ip не существует. Возможно будет достаточно условной галочки – “Ура, я не в России!“, по аналогии с “Мне уже есть 18”.

Никакой ответственности за неисполнение закона не предусматривается. Как для владельцев сайтов, так и для конечных пользователей. Я не юрист, но звучит довольно удивительно. Впрочем целеполагание правительства понятно: была бы статья - штраф допишут. Вспоминаем движ с маркировкой рекламы.

Официалочка:

Поправка направлена на защиту персональных данных россиян — часто именно регистрация через иностранные сервисы становится брешью, через которую персональные данные попадают в открытый доступ, либо крадутся киберпреступниками»
пояснил Хинштейн

Вы хотя бы сначала вменяемые штрафы за утечку персональных данных прописали. Кейс яндекс-еды все помнят. Впрочем, о чем это я?

Давайте лучше гадать, так зачем же это все было принято?

Версия первая, прохладная, заботливая

Согласно данным unisender до 24% российских пользователей в качестве почтового клиента используют gmail. Думаю, что процент людей, авторизовавшихся на сайтах через эту почту, примерно такой же. Еще около 1% используют почту на icloud, outlook, hotmail, protonmail, yahoo etc. 61% приходится на отечественные сервисы и 13% на корпоративные почты (про них ничего не известно).

Ситуация как будто намекает на то, что нас аккуратно отваживают от любимого почтового сервиса. При том, что приличные аналоги есть, уверен, статистика пользователей gmail'а медленно пойдет вниз.

Вы возразите: “Все мы помним блокировку инсты (организация-террорист). Блокирнули - носом не повели, зачем в данном случае рассусоливать?”. А я буду возражать. Попробуем встать на место законотворцев. Одно дело - отобрать небогоугодный тайм-киллер у губастой жены/любовницы, другое дело – ютубчик у ребенка и джимейл у офисного планктона. Вы же в курсе коллизии Гугла? Из-за динамических айпи заблокировать отдельный сервис гугла РКН не может. Блокируем поиск – блокируется ютуб, гугл-драйв, джимейл. И даже хрен с ним, с ютубом. Половина госслужащих продолжают использовать gmail и диск, в том числе, для рабочих целей.

МФЦ встанут, справки не будут печататься! Вот такая мягкая сила, которая должна помочь постепенно перевести юзеров на отечественное.

Версия вторая, политическая, очевидная, иноагентская

В пользу этой версии говорит то, что в первой редакции поправки касались только сайтов из реестра распространителей информации и новостных агрегаторов. Очень похоже, что правительству захотелось иметь еще один (куда еще?!) рычаг давления на владельцев медиа.

Комментарий пользователя Habr. Оцените эзопов язык: Бахр.ру, Рейган - дурак. Учитесь!

Версия номер 3. Паникерская, гулаговская

Вытекает из предыдущей. На владельцев площадок, не покинувших РФ, и так легко давить. А что, если это все для того, чтобы быстрее вычислять недовольных интернет-пролетариев, посмевших в комментариях оскорблять, дискредитировать, сомневаться с линией партии? По идее, это сильно сокращает путь по поимке террориста. Не надо идти в пыльные кабинеты местных СМИ, трясти дедушку-редактора: “Почему не логируются ip комментаторов, где гребаный СОРМ?”. Уж почта-то точно записана, а ру-почта без телефона не существует. А где номер телефона, там и биллинг. Вот и вышел человечек, представитель населенья.

Версия 4. Совмещает в себе все три предыдущих.

Зачем три раза вставать, если одной инициативой можно убить сразу трех мух. Мне кажется, у Хинштейна аж голова закружилась, как в итоге хорошо всё получилось.

И для медиа у нас появился очередной чапалах, и всяким эльфа-комментаторам окончательно пасть заткнем. Да и гугл задолбал откровенно.

В целом, браво. Резонанс у законопроекта нулевой. Никто даже пискнуть не успел, полторы публикации в СМИ. Оно и понятно, у россиянина других проблем навалом. Цены на яйца видели?

Закон сырой и непонятный. В действие он вступил, но вроде как следить за его исполнением начнут с 1 января 2025. Ответственность за неисполнение, уверен, появится к этой же дате. Совершенно непонятно, что делать с корпоративными адресами. Как будет осуществляться проверка? Силовики будут просить показать базу данных с зарегистрированными юзерами? Или будут просто проверять возможность авторизоваться на вашем сайте через условный gmail?

Закончить хочется цитатой. У Джейсона Стетхема ничего по этому поводу не нашел. Поэтому решил придумать цитату за Илью Красильщика.

Был взволнован, поэтому тон статьи слегка бравурный. Типа: “Прорвемся. Нас ****, а мы крепчаем. Этот народ не победить!”. Извините.

Естественно Tolstoy Comments, как флагман Российских систем комментирования, готов ко всем диким инициативам наших законотворцев. Можете обвинить меня в конформизме, коллаборационизме и том, что статья только ради пяти минут рекламы и писалась. У нас есть вайт-листы почт , блек-листы, авторизация через настраиваемый список соцсетей, sso и все чтобы вы были законопослушным гражданином. В общем (и целом), если у вас есть комментики на сайте, скорей переходите к нам.

erid: p0:pr0m0k0du:yA:s:VC.ru:sk1dka:20%

Я владелец сайта, и я в России:

Буду исполнять закон. Не мы такие, жизнь такая

Не буду исполнять. Так победим

Закрою сайт. Открою пасеку

Я комментатор-пролетарий

Буду логиниться через ОК. Один раз живем

Куплю симку на бомжа. Регну мейл. Ищите меня семеро

Завалю варежку. Уйду в Шамордино.