Comments 147
нет слов "запретить" или "ограничить".
Есть слово "обязан"и закрытый список.
Нет слов "обязан только с них", "запрещено с других". Но этот пункт, я согласен, можно толковать двояко.
Если бы было однозначно понятно, это требование обеспечить возможность или требование ограничить авторизацию указанными способами, обсуждения не шло.
Нет слов "обязан только с них", "запрещено с других".
Как это нет слов "обязан"?
«10. Владелец сайта и (или) страницы сайта в сети «Интернет», .... предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:
И дальше идет список из трех пунктов а-ля зарегистрированный российски номер телефона и "единая система идентификации". И четвертый пункт хоть и " с использованием иной информационной системы", но явно запрещающей всякие gmail ("соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона").
То есть, переводя с юридического языка на русский, законопроект звучит так:
Если пользователь находится в России, у него должна быть возможность авторизоваться с помощью российских средств авторизации.
Этот ваш вывод был бы корректным, если бы в п.4 про "иной" не было жестких ограничений. Тогда да, можно было бы воспринимать как "добавьте к существующим способам еще и российские". Но п.4 явно запрещает всякие OAUTH через gmail. Да и просто через gmail.
На какой пункт законопроекта вы сошлетесь, как на дающий возможность зарегистрироваться на буржуйский email?
Главный вопрос теперь как всегда: что делать?
Я лично пошёл регистрировать российский емейл. Но с правильным именем ящика.
Анекдот в тему. Человек пишет заявку в страховую:
-- Застрахерьте меня, пожалуйста.
-- Вы что, нельзя так писать!
-- А как можно?
😜
След. этап - наладить форвардинг без участия провайдера почты. Надеюсь, есть готовые решения чтобы самому не возиться
Если цель — не вроде как заявленная защита прав граждан а перлюстрация — им хватит — письма то пройдут в открытом виде, ну если отправляющий сервис не умеет (как умеет например Facebook) шифровать почту прямо указанным в настройках pgp-ключом… но вот тем же мейлру и прочим вк можно и объяснить что цензуры нет но шифрованные письма не пересылаются… вот только вполне возможный эффект будет — есть рупочта для спама и принудительных логинов а есть — для общения и если если вам не приходит письмо на рупочту — это ваши проблемы
gmail может через POP3/IMAP забирать почту, чтобы только один ящик смотреть. Думаю, с мейлрушечки тоже заберет, пока напрочь не отрежут IP.
Отправлять тоже может с соответствующего email (не своего домена), достаточно подтвердить, что это ваш email.
Но это вряд ли нужно. IMHO достаточно первого пункта, чтобы не проверять кучу ящиков, а все входящие нотификации, коды для регистрации аккаунтов видеть в одном интерфейсе.
И это (кроме всего прочего) напроч рушит идею для которой создавался тот же SimpleLogin — куча отдельных алиасов для каждого сайта + их контроль (и нет +tag это НЕ ответ) :(. Ну и для пользователей у которых совсем нет желания чтобы их переписка была доступа… ладно, админам mail.ru и всем кому они решили дать… это создает проблему.
Никакого двоякого толкования. Аналогия: Когда в договоре написано "обязан оплатить оказанную услугу следующим способом:" это значит что только указанным способом и никаким другим.
Альтернативные толкования возможны с привлечением КС, но не для вас и не для меня, а для тех у кого "не более двух сроков подряд".
Вот бы сейчас в 23-м году всерьёз обсуждать, что есть и чего нет в законах. Правовое поле давно скомкано и выброшено в корзину. Интерпретироваться всё будет «как надо». Для этого практически умышленно оставляется двоякость толкования, а порой и явная неопределённость.
Человек живет в параллельной реальности, где в рф есть законы и они исполняются. Еще и конституция наверное не туалетная бумага, да и войны никакой нет. Блаженный, бывает.
Не блаженный, а заинтересованный. Дмитрий Лейкин — Русский эксперт (ruxpert.ru)
Я как раз против введения бессмысленных ограничений. Просто с утра были сообщения, что все включая иностранцев должны будут иметь российскую почту. Я посмотрел закон, оказалось не так. Если они хотят чтобы из России можно было только с российской почты, мне это тоже не нравится. На мой взгляд, это должно быть возможностью, а не обязанностью.
Во-первых, даже когда идёт речь только о находящихся в России пользователях, возникают вопросы. Если сферический иностранец, зарегистрировавшийся на сайте сидя у себя Инострандии, приехал туристом в РФ. Блокировать ему доступ? Он же в РФ находится сейчас, а почта у него привязана не российская.
Во-вторых, в законе не сказано "в том числе и одним из", там закрытый список. Т.е. "пользователей из России авторизовать либо таким, либо сяким образом, а других пользователей — как хочешь".
В-третьих, прежде чем "переводить с юридического на русский" для масс, стоит хотя бы проконсультироваться у юриста. Уберите дезинформацию.
Если сферический иностранец, зарегистрировавшийся на сайте сидя у себя Инострандии, приехал туристом в РФ. Блокировать ему доступ?
Для интуристов всегда можно сделать отдельный доступ, без всяких ограничений. Заодно можно им запретить выходить за пределы установленного маршрута, разговаривать с непроверенными и недопущенными гражданами, вести фото и видеосъемку без разрешения сопровождающего.
Вы знаете способ отличить интуриста от релоканта?
Предлагаете разрешить анонимный постинг на форумах, а ещё лучше с возможностью написать юзернейм от имени которого пост опубликуется? Либо бесплатно раздавать услуги за которые пользователь обычно платит? Или, условно, "Яндекс.музыка недоступна для вас, пока вы не покинете территорию РФ" а что делать с абонплатой за сервис в этот период?
Вы знаете способ отличить интуриста от релоканта?
Например тип визы. Или там необходимость регистрации в том или ином виде.
Предлагаете разрешить анонимный постинг на форумах, а ещё лучше с возможностью написать юзернейм от имени которого пост опубликуется? Либо бесплатно раздавать услуги за которые пользователь обычно платит? Или, условно, "Яндекс.музыка недоступна для вас, пока вы не покинете территорию РФ" а что делать с абонплатой за сервис в этот период?
Что я только что прочитал?
Начнем с того, что я вообще ничего не предлагаю. Так, мысли вслух и немного черного юмора, короче прогноз на будущее.
Во-вторых, все намного проще. Для граждан чебурнет без доступа к всемирным ресурсам и недоступный для любых иностранцев, хоть они за пределами страны, хоть приехали. Для интуристов обычный всемирный интернет, но без доступа к чебурнету. И не с личного устройства, а с выданного казенного сертифицированного (с кейлоггерами, MITM-сертификатом и т.д.) Ну а иностранные релоканты вообще запрещены, потому что у них больше возможностей для шпионажа, чем у туриста. К каждому туристу приставлен отдельный сопровождающий. Если например семья туристов из трех человек - значит три сопровождающих.
Пароль для доступа к BIOS UEFI есть только в получать в сервисной службе Microsoft АстраЛинукс а отладчики — все номерные?
А зачем интуристу компьютер или ноутбук? Выдать ему смартфон и хватит с него. Отечественный, весом граммов 400-600, толщиной сантиметров 5 и без порта передачи данных, вот с такой зарядкой:
А чего только об интуристах речь?
Депутат новосибирского Заксобрания предложил забрать у населения личные компьютеры - KP.RU
— Интернет — оружие массового информационно-психологического поражения, — написал депутат. — Необходимо решительно вывести вычислительные мощности из общественного оборота. ЭВМ должны применяться по назначению — в науке, промышленном производстве, транспортных системах, военных штабах и т.п.
семья туристов из трех человек - значит три сопровождающих
Вы таки видели новый план по борьбе с безработицей?
Ну как минимум, таких иностранцев ожидает разлогинивание с иностранных провайдеров oauth. Хотя я на 100% уверен, что никто не будет как-то отделять иностранцев и выпилят остатки иностранной авторизации со своих сервисов.
Интересно, почта на своём домене как будет учитываться?
Почта на своем домене и на своем сервере, вообще комбо!
Особенно, если российский домен лишь один из множества зеркал.
Ну так при регистрации то вы указываете user@domain.ru даже если для сервера — user@domain.com это тот же почтовый ящик.
Это если есть такой российский домен. Вот у меня есть только .me - ну, типа мой, личный (и именно из этих соображений тыщи людей регистрировали сайты/почтовые сервера именно в нём). Но одновременно это национальный домен Черногории)
соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона
Ваша почта требованиям этой статьи удвлетворяет?
https://www.consultant.ru/document/cons_doc_LAW_61798/0e9ec16b786dcbdaaa7f44abfc4a15e601d5be22/
Когда планировали блокировать сайты, там тоже подавалось все под соусом борьбы с педофилией. Никто не писал, что будут блокировать сайты независимых СМИ и оппозиционных политиков. Лиха беда начало.
Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет? А если почта на домене COM и размещается на Yandex?
Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет?
думаю это идея для следующего закона, когда почта на домене ru должна будет размещаться только на российских серверах, чтобы обеспечить свою работоспособность при "изоляции рунета".
Та почта у меня привязана к хабру (для многих других сервисов — сделано ):
- на поддомене моего домена в .com
- mx'ы указывают на cloud-версию SimpleLogin (при большом желании — я могу поднять свой инстанс там же где остальные части живут)
- SimpleLogin пересылает почту на один из N указанных mx'ов (на Proxmox Mail Gateway, не все из них находятся в России-согласно-geoIP-базам), для некоторых адресов(для хабра так не сделано но делается одной галочкой в админке) — еще и на другой сервер M
- mx'ы пересылают почту на сервер с Mailcow (откуда почта и читается)
- сервер M преобразует почту в другой вид и пересылает на M1 (home server Matrix, удобно мне кое какие письма получать как сообщение в чат)
- root-доступ к соответствующим серверам, админ-доступ к PMG/mailcow — у меня. к M у меня доступ только админа домена, к M1 рут доступ не только у меня, а еще и сотрудников конторы которая M1 поддерживает.
- DNS домена — на cloudflare и включено закрытие whois
Что именно из этого должно быть физически в России/иметь Российские IP-адреса/как в данном случае определяется владелец?
Что именно из этого должно быть физически в России
Всё?
Как предпологаеться, проверять например физическое расположение сервера с
- Mailcow?(входящую почту он принимает только с Proxmox'ов, исходящую отправляет тоже через них, причем еще и через разные в зависимости от домена).
- M/M1?(они в этой схеме исходящую почту не отправляют и напрямую — не принимают а только от SimpleLogin'а)
Мое гражданство и локация нигде на этих серверах — не указаны (контора которая M1 поддерживает — знает его только с моих слов, и только косвенно и только потому что всплыл вопрос как им платить(там замудрено все) и мной был назван как наиболее удобный вариант — Российская карта, чуть менее удобный — НЕроссийская карта)
Кстати, оба dns-сервера домена судя по трейсроуту — в России физически(и даже не в Москве а поближе ко мне)… если трейсроут запускать с Российского интернета, вот только там anycast а нод у Cloudflare много (в том числе в России) — это как считать — Россия? Или нет?
вы почему-то исходите из того, что написанные в законе слова будут использоваться судами как обязательные формальные правила принятия решений. И, соответственно, считаете, что в случае, если возникнет такая необходимость, суд действительно будет смотреть какие-то там трейсроуты и документы от хостера, разбираться в какой же все-таки стране у вас почта и руками разводить, мол какая интересная юридическая коллизия выходит, как же нам в этой ситуации решение-то принять.
Опыт же подсказывает, что все разбирательство будет плясать от того, какое решение нужно для правильного вердикта. Надо признать российским пользователем - будет российской почтой. Надо заблокировать доступ - значит иностранная. А трейсроуты эти ваши и справки можете... ну, сами знаете
Так разбиратся придется не им.
Вот есть условный хабр. Как российский сайт (я в курсе про Кипр но допустим).
Как администрация может выполнить закон, так чтобы к ним не было претензий?
а, в этом смысле. Тогда да, что делать российским юрлицам в этой ситуации непонятно.
Не только ЮРлицам. В тексте ж сказано про российские сайты. Не сайты российских юрлиц. Физикам как быть? Ну если в рамках закона оставаться.
Ну и с другой стороны — как быть Российским юрлицам если допустим абстрактный-гражданин-россии-на-территории-россии на следующий день после вступления этого в силу начнет требовать дать ему логиниться через госуслуги потому что это считает (на основании этого закона) что имет такое право?(при этом на госуслугах и телефон и e-mail — не соответствуют тому что есть у сайта, а паспортных данных у них нет). И что им делать? В суд посылать?
Неа, ведь в законе "одним из". Т.е. для удовлетворения закона, только одним достаточно.
А сделают просто, либо майл, либо яндекс, остальным до свидания.
Допустим ответ — нету.
Хорошо — сайт говорит что досвидания. И получает требование об удалении персональных данных и аккаунта. И что они тут будет делать? Особенно если реально какие то офлайноые транзакции с ними "в полете".
Я понимаю что отговорится можно… но техподдержкам таких сайтов я вот не завидую.
Или еще более интересный вариант — был использован корпоративный e-mail (Российский но на своем сервере) и есть прямая инструкция от начальства использовать именно корпоративный. И в этом случае на отказ сначала будет просьба дать его официально. Сначала.
Грозиться судом конечно можно, но по факту тебе придётся туда и прям обратиться.
Ну вот смотри, какие ещё персональные данные удалить, если ты не смог зарегистрироваться вовсе. И вообще ты такое должен писать заказным письмом с паспортными данными, и потом в чём проблема грохнуть твою учётку?
А какой ещё официальный ответ, тебе либо сайт ошибку выдаст, что мыло не подходит, либо ты никогда код подтверждения не получишь.
Я скорее про случаи когда уже пользователь зарегистрирован.
Предполагая что из-за этого закона заставят менять.
А в чем проблема грохнуть — ну попробуйте например грохнуть учетку WB когда у вас доставка не завершена (и еще и с пост-оплатой). При этом заказное — не то что бы проблема — у почты россии есть сервис по электронной отправке и с трекингом и для суда заявлено что подходит.
Пример про официальный ответ — для случая когда есть аккаунт по работе на каком то сервисе(условная фигма или условный selectel), и хочет замену e-mail. Допустим не получу но каналы для доступа к техподдержке — есть (в крайнем случае да — письмо заказное). Пользователь сам менять не будет потому что запрещено (аккаунт для работы) и либо ему дадут официальный ответ либо придется его начальству давать.
Кстати возможен еще и другой вариант — у меня как и как ИП и как физлица с некоторыми конторами российскими (у которых вполне себе есть сайты) есть договора подписанные. И там прямо указано какие e-mail'ы для общения могут быть использованы с обоих сторон(а вот страну где сервер — там ни слова), поменять это — надо подписывать допник к договору и тут станет вопрос кому это больше надо и вполне может оказаться что это не мне больше надо.
И что еще хуже — не до конца понятно — закон этот всех этих случаев касается или как?
Как российский сайт
Например, при регистрации спрашивать, по букве закона "Находитесь ли вы не в России?" - и два варианта ответов:
"Да, не в России"
"Нет, не в России"
Как предполагается проверять
Не проверять, а доказывать. И доказывать будет не товарищ майор.
Достаточно лишь привести вашу систему эл. почты в соответствие с требованием п.4:
с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо."
А вообще, конечно, вопрос, что будут понимать под "иной информационной системой". Какой-нибудь OAUTH через буржуйский сервис - понятно что не прокатит.
А вот "собственная система сайта", которая хранит ваш профиль и пароль у себя, а ваш email использует только для воостановления пароля - может какое-то время еще и поработает.
Хотя соответствует ли плагин авторизации вордпресса "требованиям о защите информации" даже при использовании мейлрушечки - большой вопрос.
Ну я не депутат (к счастью), но пытаясь размышлять в русле их логики я бы предположил, что российским будет назван сервис, "который продолжит функционировать при изоляции рунета".
А дальше - сделают какую-нибудь IT-контору, которая будет проверять, выдавать сертификаты о соответствии и вносить информацию в очередной реестр "отечественных почтовых служб". А дальше для регистрации можно будет использовать (только) почтовые службы из реестра.
Вот интересно, у меня почта на домене .RU, а хостится все на gmail – это иностранная почта или нет? А если почта на домене COM и размещается на Yandex?
вы тут своими этими не это. поставят к стенке и всего делов
какая разница иностранная или нет. Она статье 16 удвлетворяет? если нет, то не подходит для аутентификации.
https://www.consultant.ru/document/cons_doc_LAW_61798/0e9ec16b786dcbdaaa7f44abfc4a15e601d5be22/
Что-то мне подсказывает, что если поправки действительно собирутся принимать, то их обязательно скорректируют, чтобы на российских сайтах регистрировались только с российской э-почтой. Это укладывается в логику, что когда (если) будет отрублен внешний интернет, пользователи российских сайтов должны сохранить возможность продолжать логиниться на эти сайты (в том числе используя имейл для 2ФА).
Опять же можно вспомнить многострадальный закон о повышении призывного возраста, когда изначально обещали что интервал просто сдвинут на три года вверх (с 18..27 на 21..30), а в процессе обсуждения решили, что гораздо удобнее будет его просто расширить до 18..30.
А главное причина, по просьбам трудящихся призывников. Как будто их кто-то спрашивает.
Кстати заметили, на сколько актуальны и злободневны вдруг стали советские анекдоты.
Они и не теряли актуальности, за исключением короткого периода "ужасных 90-х".
"ужасных 90-х"
У вас никто из знакомых в "святые 90е" не был ни убит, ни пропал в без вести?
У меня нет. Спившиеся и умершие от "закодировался - выпил" - такие были. Но не криминал.
И сам только экономические трудности помню. Про криминал знал, конечно, но живьем не сталкивался.
У меня знакомого, создавшего свой успешный бизнес после окончания ВУЗа, в конце 90х убили. :-(
Я помню, насколько был в шоке в 1999 от убийства директора VIST. Понятно,что в строительстве или торговле металлом это было нередким. Но в компьютерном бизнесе это едва ли не единственый такой случай.
Видимо, я просто не понимаю, к чему был исходный вопрос. Если к сравнению по числу насильственных смертей 1999 года (последнего года "святых 90-х", как вы пишете) с последним годом времени, в котором мы живем, мне кажется, сравнение будет не в пользу сейчас.
А в посте, спровоцировавшем ваш вопрос, вообще речь шла об анекдотах, а не о смертях...
Если к сравнению по числу насильственных смертей 1999 года (последнего года "святых 90-х", как вы пишете) с последним годом времени, в котором мы живем, мне кажется, сравнение будет не в пользу сейчас.
Я не в России, и никогда России не жил.
У нас сейчас можно всю ночь гулять по городу без необходимости носить нож как в 90е.
Никогда нож не носил. В т.ч. и в 90-е даже в мыслях не было.
Про перцовый баллончик сейчас есть, но пока не дозрел.
В 90-е ходил с пружиной от двери в подъезд. И даже пришлось использовать...
Это огромная разница. Пружина, кусок водопроводной трубы - норм. Даже сейчас отмазаться есть шанс, если, конечно, на трубе ручку изолентой не изобразить.
Хорошо что сейчас не 90е, никого не убивают.
Убитые среди друзей и знакомых были и в 90-е, и до, в "счастливые советские", и после, в "жирные 0-е". Специально статистику не вел, но на первый взгляд особых всплесков именно в моем окружении не было. А вот в зависимости от возраста изменение причин смерти гораздо более заметно, но причина здесь вовсе не в исторической эпохе, а в изменении с возрастом увлечений, образа жизни и состояния здоровья.
Кстати, большинство в упомянутой Вами категории "пропавшие без вести" у меня приходится не на 90-е, а на начало 0-х, прямо аномалия какая-то.
Все оказалось опять не так, как трактует отечественная либеральная пресса...
Может просто писать внятно законпроекты?
Так чтобы понять их неправильно (особенно с учетом уже имеющегося опыта с блокировкой, да и с ТСПУ) — было невозможно?
Ну вот "Ведомости" - которые после смены редколлегии уж точно никак к либеральной прессе не отнесёшь - открытым текстом пишут: запрещено. Даже не "ограничено".
Кстати а можно цитаты как именно "либеральная пресса" трактует. И какая именно?
Потому что одно дело — какое мнение по этому делу имеет например Роскомсвобода (было бы интересно почитать, потому что там будет видимо относительно нормальная юридическая оценка ситуации и последствий, и сравнение с аналогичным опытом других стран) и/или товарища @RationaAnswer(пусть другая область чуть но он если не уверен но посчитает что тема интересная — может найти тех кто сможет рассказать что-то полезное), другое — какое структуры вроде ОВД-Инфо (было бы интересно почитать тоже хотя в технических вопросах они вероятно разбираются хуже а тут — они важны) и совсем третье — что-там-сейчас-сталось-со-штабами-навального-и-около(меня вот их мнение по этому вопросу — особо не интересует, политическая позиция известна, ничего нового по сравнение с предыдущими двумя пунктами — я не ожидаю)
То есть, во-первых, речь идет только о тех пользователях, которые находятся в России. Об остальных речи не идет.
Если уж вы внимательно все прочитали, разобрались и взялись переводить с юридического на человеческий, можете прямо с первого пункта начать?
Что значит "пользователь находится в России"? Если физически на территории, то как это должен определить владелец сайта? Не по IP же :)
Речь только о первоначальной регистрации аккаунта? Т.е. условный Озон не дает мне зарегистрировать аккаунт на gmail.com. Но как только я включаю VPN на время регистрации - так пожалуйста. И дальше могу из России спокойно пользовать сайтом с аккаунтом, зарегистрированным на "недружественный" email. Да/Нет?
судя по тексту он ничего не должен запрещать так же в обязательном порядке должен принять один из способов регистрации без использования внешних сервисов, встречался с сайтами в ру регионе которые могли на майл или яндекс просто не отправлять код, ошибка вылетала, и среди способов входа были только фейсбуки твитеры
Судя по какому тексту? Данного поста?
В законопроекте есть п.4 "с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети «Интернет», и (или) информационных систем, и (или) программ для электронных вычислительных машин и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо."
Думаете, это пункт разрешает регистрацию на gmail, как системы "соответствующей требованиям о защите информации"? Если нет, то какой тогда пункт разрешает?
"владельцем которой является гражданин Российской Федерации, не имеющий гражданства другого государства, или российское юридическое лицо " а при чем тут почта если это требование к российским провайдерам такого типа услуг, хранить данные в соответствии закона, и тогда его сервис сможет считаться возможным для указания как исполняющим этот закон
Вы "владельцем которой" относите к чему? Не к владению системой авторизации, случаем?
Я фразу "... и соответствующей требованиям о защите информации, установленным статьей 16 настоящего Федерального закона, владельцем которой является" читаю как "владельцем информации".
Т.е. да, владелец сайта обязан использовать систему авторизации, достаточно хорошо защищающей клиентов - граждан РФ (и юр лиц...). И насколько допустимо задействование буржуйских сервсиов [электронной почты] в цепочке хранения и восстановления доступов к защищаемой информации - большой вопрос.
Кстати про "В России".
Внимание вопрос в студию:
Если по GeoIP-базам пользователь находится на Украине, но сам пользователь говорит что он в России, на референдуме голосовал за, при этом его провайдер не может поправить GeoIP-базы (либо не может поправить все и пользователь по разным базам — в разных странах) то как тут быть?
А если тот же самый пользователь, находится там же но хочет чтобы его НЕ считали пользователем из России но детектится как из России- мол у меня паспорт Украины, паспорт РФ НЕ получался, погранконтроль не проходил, на референдуме голосовал против?
задача всех законов в РФ (наверно во все времена) предоставить свободу "творчества" для судебных органов, чтобы какое бы решение они ни вынесли это всегда оказалось "по закону"…
ну а конкретно в этом случае, что бы они там ни написали, результат будет ровно тот, который в шок-заголовках…
в самом "мягком" варианте пропишут "запрет" только для новых юзеров, а остальных "вынудят" перерегистрироваться в РФ акк, после того как инет отрубят ))
Напрасно вы, автор, недооцениваете Горелкина и Ко. Обязанность законом определена вполне однозначно.
Как бы витиевато не писали подлецы свои законы, мы прекрасно понимаем, что задача этого закона - деанонимизировать всех в Рунете и получить доступ к переписке.
Думаю, в самой ближайшей итерации после принятия этого драфта появятся и санкции за неисполнение закона в виде блокировок и штрафов. Вот тогда и начнется суета, в результате которой платформы будут искать способы как реализовать закон (а это получится лишь при еще большей слежки за пользователями), а пользователям придется либо уступить властям, отказавшись от своего права на приватность (перейти с защищенного Protonmail на ОРИ-реестрового Мэйл.ру), либо навсегда потерять доступ к своим аккаунтам.
Подробней про требования закона написал тут
Как конкретно этот закон ведет к деанонимизации и тем более к доступу (кого?) к переписке?
Как конкретно этот закон ведет к деанонимизации
В соответствии с законопроектом авторизоваться на сайтах можно будет только разрешенными методами. Зарегистрированная SIM карта, ЕСИА, биометрия и "иная система, соответствующая ФЗ". Первые 3 пункта - очевидно обеспечивают деанонимизацию из коробки. Последний отсекает возможность регистрации просто по почте, не обеспечивающей возможность вас деанонимизировать.
Я не про это, хотя тоже момент спорный - те же SIM-карты без паспорта.
Я про ситуацию, когда Я регистрируюсь на очередном ozozon.ru. Допустим, я ввожу туда свой номер телефона: как при этом владелец ozozon.ru меня деанонимизирует? Отношения между мной и сайтом все равно анонимны.
При этом на настоящий ozon.ru вы и так отдадите свои данные для доставки, там анонимность только вредит. И на госуслугах тоже.
Так речь о деанонимизации не озозоном, а об облегчении работы (практически в реальном времени) соответствующих служб.
Вот сейчас меня по аккаунту на Хабре найти можно, но надо напрячься, поработать. А с обязательным номером телефона в профиле (пусть и скрытом от других пользователей) - секунды.
"SIM-карты без паспорта" - корпоративные симки уже не просто так, а компания должна сообщить, каким конкретно номером кто из сотрудников пользуется. Так что уже сейчас это временное решение. Брать симку, чтобы зарегистрироваться и написать пару гадких комментов - перебор. А долго (годы) "симки от метро" редко живут. В общем, над этим тоже работают :)
Отдельный вопрос про адрес доставки. (профессиональная деформация личности придумать "опасный" кейс). Допустим, я хочу вам сделать гадость и знаю ваш адрес. Никто не мешает мне в условном озоне сделать заказ из под своего аккаунта на ваш адрес и имя (я так заказывал на тестя в другом городе). И вот уже к вам вместо заказанного дрона, устройства для сброса грузов и разных химкатов приезжает не только курьер. А реального заказчика, зарегистрированного на буржуйскую почту, найти - придется потрудиться.
Владелец не деанонимизирует, а компетентные органы в случае их интереса к вам - да.
Вопрос, означает ли "обязан осуществлять с использованием одного из способов" запрет на использование других способов, на самом деле, неоднозначный. Как всегда, наши законодатели не умеют в чёткие формулировки. Но предположим пессимистичный вариант - что означает.
Но при чём тут электронная почта вообще? Никакая электронная почта сама по себе не является "информационной системой, проводящей авторизацию пользователя"! При авторизации по логину и паролю адрес эл. почты - просто разновидность логина (каковым может быть и просто имя пользователя и т.п.) и/или способ коммуникации с пользователем. А вот всякие SSO и прочие входы через соцсети - это те самые информационные системы, которые имеются в виду.
То, что какой-то депутат приплёл сюда эл. почту - ну так что, кто-то ожидал, что депутаты правда разбираются в том, что сами принимают?..
Итого получается, что:
- авторизация через вход в ВК, ОК, Яндекс.ID, Сбер.ID - можно, через Azure AD, Okta, Facebook и прочий Google - нельзя;
- авторизация через логин (в т.ч. адрес эл. почты) и пароль - можно, если подсистема авторизации российская (в т.ч. внутренняя, наша собственная), что там выступает логином и куда мы высылаем подтверждения / уведомления пользователю - к вопросу не относится.
Кстати, это всё ещё и на программы для ЭВМ распространяется, т.е. на чистый оффлайн.
Если очень хочется вход через иностранные SSO / соцсети сохранить - оформляем сайт / программу на иностранное юр. лицо (если к этому нет иных препятствий), на них эти требования не распространяются, даже если они работают с российскими пользователями.
Как-то так получается, исходя из текущего текста и пока отсутствующей подзаконной нормативки.
P.S. Вообще ещё очевидно, что речь вообще не только про авторизацию, а в первую очередь про аутентификацию, но уж понимания таких нюансов от законодателя ожидать было бы тем более странно.
Вопрос, означает ли "обязан осуществлять с использованием одного из способов" запрет на использование других способов, на самом деле, неоднозначный.
А в чем тут неоднозначность?
Было бы написано "обязан предоставлять возможность осуществить авторизацию..." - это можно было бы трактовать как обязанность удовлетворить хотелки желающих авторизоваться через ЕСИА в дополнение к существующим методам. Выбор конкретного способа авторизации лежал бы на пользователе.
Но в текущей формулировке он обязан именно осуществить авторизацию одним из способов из приведенного списка. Одним из списка, никаким другим. Есть упоминание "иной", но тоже с жесткими ограничениями. Не представляю, как можно доказать, что какие-то еще способы тоже попадают под такую формулировку.
- авторизация через логин (в т.ч. адрес эл. почты) и пароль - можно, если подсистема авторизации российская (в т.ч. внутренняя, наша собственная), что там выступает логином и куда мы высылаем подтверждения / уведомления пользователю - к вопросу не относится.
Как это не относится? П.4 гласит, что система должна соответствовать требованиям о защите информации, установленным статьей 16...
Думаете система, восстанавливающая пароль (доступ к защищаемой информации гражданина РФ) путем отправки кода непойми куда (тем более зарубеж) может считаться соответствующей таким требованиям? При первом же инциденте владелец сайта огребет по полной. И во избежание такого будет позволять регистрацию только с разрешенных почтовиков.
Хотя да, в законе явно писать "только с утвержденных мейлрушечек" не требуется. Владельцы сайтов это сделают сами, добровольно и с песней, по просьбам трудящихся.
А в чем тут неоднозначность?
В том, что подобные формулировки сплошь и рядом используются и без ограничительного смысла. Скажем, если где-то "должна быть указана следующая информация: ..." - это не значит, что только перечисленной далее информацией всё указанное и должно ограничиться. Оговорку "в том числе" часто опускают. Но, повторюсь, здесь я со скидкой на наше правоприменение принимаю пессимистичную трактовку, будем считать, что на слово "исключительно" букв пожалели, но таки имели его в виду.
Думаете система, восстанавливающая пароль (доступ к защищаемой информации гражданина РФ) путем отправки кода непойми куда (тем более зарубеж) может считаться соответствующей таким требованиям?
Думаю, что да. А каким конкретно требованиям ст. 16 она противоречит? Там насчёт "зарубежа" только про хранение перс. данных.
P.S. Для понимания - я сейчас говорю только про нормативные акты и что в них изменится от принятия обсуждаемого законопроекта. То, что и сейчас можно натянуть сову на глобус и начать привлекать сайтовладельцев к ответственности за всё подряд - я нисколько не сомневаюсь. Требования по локализации и трансграничной передаче ПД одни попробуй буквально соблюсти...
Я с вами согласен в пессимизме трактовок :)
Поэтому и не про "каким конкретно требованиям ст. 16 она противоречит", а про "должна соответствовать".
Навскидку
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
База данных почтовых адресов где находится? А ведь с ее использованием.... Значит, использование БД с email, посредством которых осуществляется доступ к защищаемой информации, расположенной не на территории РФ, не соответствует. И владелец сайта, регистрирующий пользователей по зарубженым email, теперь будет нарушитель закона.
Во-первых, с использованием почтовых адресов ничего с ПД не осуществляется. Мы ж не по почте от пользователя его ПД получаем. ПД пользователь заполняет сам на сайте. И мы их, надеюсь, храним в России и передаём за границу только в установленном порядке (с этим, к слову, гораздо бóльшая проблема, но это к нашему законопроекту не относится, это и без него есть).
Во-вторых, наша база данных почтовых адресов находится там же, где и база данных остальной информации о пользователях. Т.е., если мы не делегируем аутентификацию стороннему сервису, - у нас. То, что этот самый почтовый адрес присутствует ещё в базе данных почтового сервера, кучи других сайтов, на которых пользователь его указал, а также написан краской на заборе в недружественной стране :) - это к нам как оператору информационной системы вообще никакого отношения не имеет.
Я часто ставлю себя на место "противоположной стороны". И на месте обвинителя я бы, в частности, оспорил вашу фразу:
мы не делегируем аутентификацию стороннему сервису,
Как раз существенную часть аутентификации (подтверждение, что к вам стучится конкретный пользователь) вы и делегируете. Авторизация (какие права ему предоставить) - действительно на вас.
И в качестве подтверждения моих слов - владелец зарубежного почтового сервиса запросто может запросить у вас восстановление пароля. И вы "поверите" этому буржую, что к вам стучится именно владелец данного email - он же ваш пользователь с таким-то идентификатором.
Так что база email зарубежом - это не просто копия, а существенная часть вашего процесса аутентификации.
Всё-таки аутентификация и восстановление пароля - это разные вещи.
В базовом сценарии мы аутентификацию проводим у себя, ни с какими сторонними сервисами не взаимодействуя. Восстановление пароля по эл. почте - вообще функционал необязательный. Но даже когда он есть - в процессе восстановления мы, опять же, не проводим аутентификацию для входа на сайт, а просто повторно получаем у пользователя пароль, с помощью которого он потом заново входит в сервис.
Вот помнится, изначально в Notion можно было только по одноразовому паролю, присланному по эл. почте, войти, а создать свой постоянный пароль для сервиса нельзя было - вот это ещё куда ни шло.
Понятно, что истолковать при желании можно как угодно. И есть шанс, что именно так и истолкуют. Но в целом по тексту законопроекта не похоже, чтобы вот это всё намеревались иметь в виду. Уж больно замысловатую цепочку рассуждений приходится строить. Да и, как тут уже многие отметили, принадлежность почтового сервера российскому или не российскому лицу - факт, который стороннему лицу вообще часто нереально проверить, а в автоматическом режиме - так и вообще никак невозможно.
Понятно, что истолковать при желании можно как угодно. И есть шанс, что именно так и истолкуют.
Именно так.
принадлежность почтового сервера российскому или не российскому лицу - факт, который стороннему лицу вообще часто нереально проверить, а в автоматическом режиме - так и вообще никак невозможно.
Однако если домен .ru - очевидна нацеленность на Российских пользователей. Соответственно "публичный" сервер, скорее всего, хостится в РФ (дабы не нарушать "хранение на территории РФ". Если же это "личный сервер на своем домене" - пофиг, где он хостится. По домену моментально узнается его владелец (для регистрации в .ru необходим паспорт), а именно это и нужно .
Так что на месте владельца сайта я бы решил, что ограничение регистрации исключительно с почтовых ящиков в зоне .ru существенно снизит мои риски. Даже если это не предписано явным образом.
P.S. Что-то мне надоело быть "адвокатом обвинителя" :)
Так то, что в тексте привязка не к доменной зоне, а к владельцу информационной системы, как раз и говорит о том, что такой сценарий вряд ли предполагался. Иначе бы так и написали.
А так, во-первых, владелец домена может не быть владельцем сервера на этом домене. Во-вторых, из данных Whois, даже если они открыты, невозможно узнать ни гражданство физика, ни юрисдикцию, а тем более бенефициаров юр. лица. В-третьих, уж тем более невозможно узнать, соблюдают они ст. 16 или нет :)
Т.е. текст законопроекта наталкивает на мысль, что речь всё-таки шла о неких системах, с которыми мы взаимодействуем напрямую и целенаправленно. Если мы прикрутили стороннее SSO - очевидно, что мы могли проверить всю информацию о его владельце, да и наверняка какое-нибудь лицензионное соглашение с оным приняли в процессе. А если мы тупо шлём письма на сторонний сервер - мы о нём ничего достоверно узнать не можем, тогда уж проще считать, что мы вообще регистрацию по любой эл. почте не вправе осуществлять.
P.S. Мне тоже уже перекапывать это надоело :) Больше, чем уже написали, мы точно не придумаем и не узнаем. Дождёмся финальной редакции, подзаконных актов и практики применения. В наших реалиях проблемы можно решать только по мере возникновения, а на дурацкие требования - находить столь же дурацкие способы удовлетворить их :)
Отдельно все-таки напишу. Вдруг развеете мою зашореность и успокоите обеспокенность :)
В базовом сценарии мы аутентификацию проводим у себя, ни с какими сторонними сервисами не взаимодействуя. Восстановление пароля по эл. почте - вообще функционал необязательный.
Базовая аутентифкация в данном случае - сверить по своей базе пару email-пароль и понять, что это к вам стучится действительно пользователь с таким-то идентификатором. Верно?
А изначально эта связка имя-пароль как устанавливается? Разве не через отправку некоего кода на указанный email?
Фактически вы доверяете зарубежному почтовому сервису подтвердить, что пользователь, регистрирующийся у вас под ID XXXXX действительно владелец этого email (имеет к нему доступ). И в дальнейшем в качестве идентификатора при аутентификации основываетесь именно на информации, предоставленной буржуйским сервисом.
Кстати, в таком виде с отправкой кода на email регистрация ничем принципиально от "необязательной процедуры восстановления пароля" не отличается.
Если вы просите email, но никак в цепочке регистрации и первоначальной аутентификации его не задействуете (ну просто попросили зачем-то указать, но никак не проверили) - другое дело.
Если отключили восстановление пароля через email - думаю, вы правы. Хоть какой-то шанс появляется объяснить, что идентификатор пользователя в виде строчки xxx@yyy.zzz вовсе не зарубежный email, а просто так выглядит. Но это будет непросто.
Обеспокоенность я Вашу не успокою, даже не надейтесь :) Если бы наши законы имели хоть какую-то внятную связь с теми процессами реального мира, которые они регулируют... А так по всем этим нюансам мы можем только гадать, как сложится практика применения. Я вот пытаюсь по тексту закона угадать, какие мысли повлекли возникновение именно таких формулировок, и свои предположения изложил выше. Дальше мусолить эту тему уже нет сил, сорри :) Но это ни разу не гарантия от того, что даже если я прав - кто-то не захочет потом применить эти формулировки для совсем других, изначально не предполагавшихся целей.
Ничего зарубежный сервер вам не подтверждает, разве что он принял сообщение.
Вы рассматриваете ситуацию, когда в качестве логина используется адрес электронной почты, который в тоже время является и средством связи. И это не обязательно, как и отправка письма с кодом для завершения регистрации. То есть при регистрации может быть использованы любые требуемые реквизиты и средства связи в него могу не входить.
Создавая аккаунт на почтовом сервисе вы куда будете отправлять код верификации? )
Хочу заметить, что в законе говорится об авторизации, то есть о проверке наличия / предоставление прав для доступа к закрытой части сайта. А аутентификация, как вы и написали, это только проверка наличия в системе записи о существовании объекта/субъекта с запрашиваемыми для аутентификации реквизитами.
habr.com это российский сервис или нет? Запретят ли в нем регистрацию через почту в зоне .com, в случае принятия закона в текущем виде?
Ничего не понятно.
Пишите письма: support@habr.com
Присылайте резюме и портфолио: job@habr.team
Habr Blockchain Publishing Ltd.
Diagorou 4
Kermia Building, 6th floor
flat/office 601
1097 Nicosia
Cyprus
+357 22675231
Разумеется НЕ Российский.
Вот только… могут взять пример с ЕС, там достаточно своебразно сказано например кого касается GDPR (и многие считают что возможности доступа из ЕС к сайту — достаточно чтобы оный сайт должен был выполнять обязанности по GDPR).
Нет, для значительной части аудитории хабра то не проблема…
/ip firewall address-list add address=habr.com comment="habr" list=force-via-vpn и нет проблем
Но… не всей. А для большинства других сайтов где большинство пользователей — из России?
и многие считают что возможности доступа из ЕС к сайту — достаточно чтобы оный сайт должен был выполнять обязанности по GDPR
Одной возможности доступа однозначно недостаточно. А вот "ориентация на локальный рынок" это уже аргумент. Например если можно выбрать страну ЕС или даже "уникальный" язык страны ЕС.
Не должны, в законе про регистрацию ничего не сказано.
Как оценить уровень грамотности депутата и его близость к избирателям? Нужно дать ему придумать закон!
Вы же не думаете всерьёз, что депутаты сами придумывают законы, которые они вносят и за которые они потом голосуют? :)
Думаете тут тоже ламантины замешаны? :)
Насчёт ламантинов я видимо что-то пропустил и прошу пояснительную бригаду :)
А если серьёзно - то законопроекты пишут обычно где-то в глубинах заинтересованных ведомств, причём не факт, что самые компетентные в матчасти подразделения оных. При этом автор законопроекта кровно заинтересован как можно меньше общаться со смежниками (которые, возможно, могли бы поправить явные косяки) и пропихнуть свой текст в последний момент, чтобы не утопить его в бесконечных ведомственных согласованиях. После чего в ходе своего жизненного пути последние остатки единого замысла, формальной логики и здравого смысла из текста пропадают в результате точечных и не согласованных ни с изначальным текстом, ни друг с другом, правок, которые вносят другие заинтересованные ведомства.
Потом, если повезёт, весь этот поток сознания, попавший в закон, как-то приводится в соответствие с окружающей действительностью (не факт, что в сторону здравого смысла, но хотя бы в сторону определённости) разъяснениями / практикой профильного органа исп. власти и судебной практикой.
Насчёт ламантинов я видимо что-то пропустил и прошу пояснительную бригаду :)
Ну да, это такой слегка инсайдер. В одной из серий Южного Парка дети выясняют что сценарии для мультиков на самом деле пишут ламантины при помощи шаров, которые они выбирают.
Госдума приняла поправку о запрете регистрироваться на сайтах РФ с иностранной электронной почты
Как я этот закон понимаю — да, или убеждатся что почта Российская.
При этом насколько я помню — подключение этой авторизации через Госуслуги даже если сайт считает БЕЗ всякого закона и его владелец этого хочет — по прежнему остается бюрократической проблемой в дополнение к техничесой и это — менять не особо хотят (хотя казалось бы — ну прямой же интерес максимально облегчить интеграцию, хотя бы для тех владельцев сайтов у кого есть аккаунт юрлица или хоть физлица на госуслугах).
Ничего плохого в этом не вижу. На сайтах "рунета" можно и не логиниться. А кому "рунет" прям нравиться - зайдут через госуслуги.
А я — вижу.
Есть сайты в рунете куда логинится с одной стороны надо в некоторых случаях(предпочту не уточнять подробности, сорри)(и даже фио у них есть реальные мои) а с другой стороны — я не хочу им давать ничего кроме той информации что им была мной предоставлена, в том числе потому что отлично знаю как они к сохранности персональных данных относятся (и мне — плевать что у них там где то в пользовательском соглашении написано что они имеют право)
Они и не получат больше чем нужно для авторизации. Я уже много лет из .ru пользуюсь только ЖКУ, налоговой и сайтами банков. Они и так знают телефон, ФИО и адрес. Что потеряют люди авторизовываясь через телефон на сайтах рунета? Свободное общение? В рунете 2023-года? Серьезно? Я правда не понимаю возмущения людей против этого закона. Если вы не доверяете чему-то - не пользуйтесь этим. Если вынужены пользоваться чем-то против воли - подумайте как от этой нужды можно отказаться. Всё происходящее было описанно в "Рунет обреченный." ещё в 2013 году. 10(!) лет назад. Все кто интересовался ситуацией с интернетом не могли не быть понятны тенденции и перспективы за все эти годы. Какой смысл выражать недовольство сейчас?
Например, я не доверяю мейлрушечке и считаю, что использование этого почтового ящика фактором, повыщающим риск попадания "секретного кода" из этого ящика в руки злоумышленника.
Вообще ни разу не про общение.
Возмущение что рушат дальше связность.
Возмущение что тот же simplelogin ни в каком виде — не использовать (потому что это либо чужой облачный сервер либо свой локальный) а ОЧЕНЬ удобно особенно с учетом того что тариф на утечки — 60 тысяч рублей.
Возмущение что (например) boosty и Author.Today/litres начнут требовать почту на mailru/аккаунт госуслуг.
Возмущение что теперь еще и придурь спам-фильтров и особенности реализации smtp mailru надо учитывать (из-за особенностей — например в некоторых случая не пытаются повторно доставить письма а сразу отправителю дают отбивку хотя сервер куда надо доставить — им НЕ дал отбивки)
Возмущение что владельцам сайтов тоже надо это все учитывать причем непонятно как.
Ну уж извените, стратегия развития регуляции рунета технически не совместима со уходящей "связанностью". За эти 10 лет люди уже сделали выбор между "VPN" и "ВНЖ". Я хорошо помню как люди в комментариях смеялись над первыми блокировками и писали что умеют пользоваться VPN. Ну вот - пользуйтесь.
Если что — у меня в закладках статьи MiraclePtr — как будет надо — буду развертывать по инструкциям, пока что хватает моего обычного VPN :).
Уезжать для меня не вариант, есть к сожалению причины о которых не хочу говорить.
Мои претензии к этому закону — скорее то что из в принципе хорошей идеичто надо дать возможность гражданам России без возможности войти (были ж случаи, тот же FB некоторым сайтам рубил Войти через FB и было неприятно, а в рамках санкций могут и устроить… веселье, возможно — в ответ на чтонибудь) устроили все так что люди ищут (и находят) основания что реализован будет максимально некрасиво.
Граждане и без этого закона имели возможность заходить на сайты рунета через rambler.ru или @ya.ru. И я сам рамблер активно пользовался - вполне удобно было в 2007. А вот посещать военкоматы через VPN или пользоваться общественным транспортом и домофонами с камерами наблюдения розыска через SSH тунель, как мне кажется - довольно неудобное занятие.
Дык проблемы не для пользователей, а для владельцев сайтов. Вот есть у меня сайт, торгует в том числе в цивилизованные страны, юзеры со всего мира. В принципе, есть английская, немецкая и испанская версии сайтов, но в связи с особенностью продукции, форинеры могут заказывать и с русского. Как мне каждый раз убеждаться что пользователь вне РФ? А главное - нахера?
По IP адресу, или спрашивая пользователя при регистрации. Смысл разделять уже сейчас - хотя бы для способа оплаты на российские и международные. У ЕС - свои требования, у РФ свои. Бизнес должен их соблюдать.
Да?
Вот допустим есть сайт A.
Регистрация полуручная (после формочки — спросят зачем оно надо… с целью в том числе понять точно ошибок нет?) вполне себе могут узнать и про гражданство… но оплату ру-картами не берут(там вообще способ оплаты очень своебразный). Притом что на сайте до недавнего времени инструкции на русском были.
И есть сайт Б.
Регистрация автоматическая. Язык по интерфейса — русский. Контент на русском (немного — на английском и японском)
Можно купить премиум-аккаунт, способов оплаты много и некоторые из них — специально помечены "только карты РФ" и даже СБП есть при этом раньше было меньше.
Кто из них должен требования выполнять?
Ах да, сайт Б официально заблокирован Роскомназдором и одна из частей премиума — более удобные для пользователя средства обхода блокировки.
И насколько вероятно что они будут эти требования выполнять? :)
По IP адресу, или спрашивая пользователя при регистрации.
В законе нет требований для пользователей с российским айпи или для пользователей, ответивших что они из РФ - есть для пользователей из РФ. У нас полной информацией кто в РФ а кто нет не владеет даже ФСБ, судя по тому что не могут определиться сколько народа сбежало от могилизации - а тут эта задача вменяется владельцам сайтов.
Способ оплаты, а тем более сама оплата возникают сильно позже регистрации.
А там написано, что при вводе номера телефона, его обязательно нужно проверять?
Во-вторых, во всем законопроекте нет запрета пользователям, находящимся в России, регистрироваться с помощью иностранных средств авторизации. Во всем тексте законопроекта вообще нет слов "запретить" или "ограничить".
Я вам не запрещаю ходить в театр в чем угодно, например, в платье, но владелец театра теперь обязан пускать на спектакль только тех, кто в штанах.
Теперь пользователей заставят везде вводить данные своей учетки на госуслугах. Мошенники будут довольны.
За давностью лет (законопроект был внесен аж 5 лет назад) все уже позабыли, что он был про "приземление" распространителей информации, а не вот это вот все: в Рунет только по российскому паспорту, паспорту моряка или военному билету. Это я к тому, что обсуждаемая формулировка вносится не в Конституцию, которая закон прямого действия, а в конкретный ФЗ сво своей ограниченной сферой действия. И будет ли она касаться всех сайтов Рунета, где требуется авторизация, или только сайтов, распространяющих информацию - покажет практика... хотя меня и смущает оперативное вытаскивание из нафталина этого кривого законопроекта.
То есть, переводя с юридического языка на русский, законопроект звучит так:
Если пользователь находится в России, у него должна быть возможность авторизоваться с помощью российских средств авторизации.
Только у меня вопрос о том, каковы, вообще, смысл и польза этого закона?
Деанонимизация.
Деанонимизация.
Почему? Получается, что в вольном переводе, закон требует предоставить возможность авторизации с помощью российских средств.То есть:
Он требует то, что владельцы сайтов, и так, уже предоставляют. Здесь он ничего не добавляет совсем.
Не запрещает авторизацию не российскими средствами - никак не препятствует "анонимизации".
1)Поменяется. Там не просто условно российская почта.
2)Запрещает. Это уже рассматривалось в комментах. Как аналог если договор требует от вас проводить оплату одним из следующих способов, то вы должны платить только одним из предложенных способов.
3)Там вообще странно. Закон устанавливает требованияк авторизации, а не аутентификации. Я не очень представляю как это должно выглядеть. Нельзя писать посты всем, у кого нет трёх семёрок в номере телефона?
Почему вы считаете "не запрещает"?
Ведь в законе написано не должна быть возможность, а владелец сайта обязан произвести авторизацию одним из 4 способов. Все 4 - российские (даже в п. "или иным" уточняется, "удовлетворяющим п.16...".
Допустимость способов 5, 6 и прочих, не подпадающих под одобренные, на мой взгляд, можно увидеть только в очень "вольном переводе" а-ля
"4) или иным, удовлетворяющим... При наличии одного из указанных четырех допускаются любые другие способы"
в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов
Предлагаю поменять схему работы с сайтом.
Запретить доступ к информации на сайте, для зарегистрированных пользователей.
Т.е. читать можно только гостям, а прошедшим аутентификацию можно только постить.
Вроде как при такой схеме требования закона соблюдаются. И не возникает необходимости в прохождении аутентификации с помощью российских средств.
Хотя... в законе написано авторизация, а не аутентификация. Как вообще проводить авторизацию с помощью телефонного номера?
Статьи писать могут только те, у кого в номере три семёрки подряд? Или как?
Запретят ли с декабря регистрацию с иностранной почты? Давайте разберемся