Большой интерес и озабоченность у наших читателей вызвал законопроект о, как его обозвали в прессе, "запрете регистрации на российских сайтах с использованием иностранных электронных почтовых сервисов". Многие задают вопросы, к примеру:
- а что делать если я пишу с территории, окупированной марионеточным киевским режимом, или враждебных стран НАТО, не разделяя при этом их политику?
- не вызовет ли это отток пользователей, не хотящих делать деанон по личным причинам, на иностранные площадки, форумы и соцсети, орудующие в том числе и в рунете?
И т.д. Я внимательно прочитал законопроект, предложенный на третье чтение, что заведомо информативнее пересказов, и вот какое предварительное мнение имею по вопросам выше.
Ключевая цитата:
Владелец сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети «Интернет» на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов
1. Фраза "пользователей, находящихся на территории Российской Федерации" означает, что для прочих пользователей не меняется вообще ничего. Кроме того, с учетом того, что у администратора сайта нет технических средств проверить местоположение пользователя (IP не вариант, с учетом сервисов типа VPN и отсутствия в публичном доступе обновляемой актуальной базы по всем российским IP адресам, включая Крым и новые регионы), максимум, что он может сделать, это спросить самого пользователя и поверить ему на слово. Кроме того, часть российских регионов находится под оккупацией киевским режимом, что делает проблематичным для значительной части россиян регистрацию в тех же Госуслугах или даже просто получение паспорта.
2. Фраза "если доступ к информации... предоставляется пользователям, прошедшим авторизацию" означает, что если информация предоставляется всем пользователям, в том числе неавторизованным, новые требования по авторизации на сайт не накладываются. У нас информация открыта, это статьи и комментарии, из чего я делаю вывод, что для АШ пока ничего не меняется.
Исходя из вышесказанного, как я понимаю, главной целью реформы являются другие сайты, например, почтовые, спекульские площадки, тот же биткоин-трейдинг - делается привязка всей онлайн торговли к системам авторизации.
Это мое понимание. Интересует мнение профессиональных юристов.
Комментарии
Госуслуги перестанут работать для аккаунтов с гугловой почтой?
Вот бы не хотелось.
А в чем проблема? Завести аккаунт на мэйл.ру и сменить адрес почты на госуслугах - это минуты три.
Майл ру кипрско-голандский Яндекс тоже нидеры может Рамблер наш? А то как то и без своей почты получаемся
Вы ответ почитайте Алекса. У мейл ру 50% голосов государству уже принадлежит?
Проблема в том, что майлру и яндекс с завидной регулярностью взламываются, соответственно сливаются базы логинов и паролей. Нормальные люди к их почтам ничего серьезного не привязывают.
Ну… строго говоря черти тоже, по некоторым свидетельствам, хранят пароли в cleartext.
Не говоря о моде к использованию (конечно же во славу «удобства») строки адреса электронной почты в качестве логина…
Как можно взломать 2fa? Или вы имеете ввиду, что взламывается сам сервер майл?
Но и в этом случае прикручивате 2fa к нужным сервисам.
Как ломается *профанация* 2fa?
Был давеча скандал с уводом учётки одного прогрессивного ЛОМа…
На счет взломов не знаю, но например с мэйл.ру не хотел бы связываться, т.к. у них сами сотрудники не редко сливают доступ к почтам пользователей. Как сейчас обстоит дело не знаю, но раньше такое было часто, поэтому осадочек остался.
Практически во всех российских инет-компаниях по прежнему работает куча хахлов. Причем и в безопасности тоже. Дальше сами додумаете?
P.S. В феврале-марте 22-го была полная жопа в этой сфере, сейчас чуть полегче, но хитрые входы в систему многие уволенные сделали.
С мэйл.ру проблемы были еще сильно задолго до кaклов(до 24-02-2022). Там тупо было то ли раздолбайство с распи..ством в плане внутренней безопасности, то ли целенаправленная политика по определенным направлениями. За всех не знаю, но по определенным направлениям(особенно когда к такой почте были привязаны определённые сервис самой компании майл.ру) почты у людей улетали только так.
Проблема в том, что механизмы монополизации предметной области порождают проблему вырождения ИБ в синекуру.
Впрочем, когда черти успешно продвигают эгрессию завязки всего и вся на *мелкомягкие* технологии, а потом, для имитации деятельности, загоняют вовнутрь толпы подрядчиков… надлежащий контроль результата практически невозможен ☹
а гугл, типа, регулярно не взламывается что ли?
Не просто завидной регулярностью, а девиз у них "сольется все".
Госуслуги вполне подпадают под действие законопроекта, но, если авторизация делается одним из указанных в законопроекте способов, например:
1) с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке, установленном Правительством Российской Федерации, на основании договора об идентификации, заключенного владельцем сайта и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин с оператором подвижной радиотелефонной связи, за исключением случаев, предусмотренных настоящим Федеральным законом;
требование заменить почту избыточно.
Я давно вход на Госуслуги заменил с почты на СНИЛС и подключил двухфакторную авторизацию. Все равно она там с 01.10.2023 станет обязательной.
*Полноценную* реализацию ДА или старательно впариваемую *профанацию* (для которой у некоторых наиболее умных юизнесменов уже давно заготовлены отписки)?
Прошу прощения, а можно для дилетантов разъяснить, чем отличается полноценная двухфакторная аутентификация от профанации?
В случае профанация функция делегируется на сторону. Причём задействуемая система разрабатывалась с совершенно *иными* целями (чтобы авторам схемы в течение минимум пары пятилеток на зряплату падал вычет в размере отношения стандартного срока доставки SMS к *требуемому* разными профанаторами).
Со следствием в виде возможности атаки, не зависящей от пользователя и рядом ужимок для её купирования.
Зато очень приятная экономия на проработке принципиальных нюансов.
Причём, как я уже говорил, даже касперский уже давно опубликовал статейку-алиби.
Это смотря как трактовать. Ниже я привел пример с доступом к информации в онлайн-магазинах после авторизации. Часть инфы видна только после логина (что разумно и правильно). Из этого следует, что неавторизированному пользователю
1) доступна не вся информация
2) после авторизации доступна доп. информация
Точно также, в текущих формулировках, можно (попробовать) подтянуть доступ читателя к личной переписке на АШе.
Да, новостная информация общедоступна. Однако переписка доступна только после авторизации аккаунта. А дальше - ой (следуя букве).
В общем в текущем виде (в текущих формулировках без разъяснений) это просто диверсия и саботаж работы ру-сегмента интернет.
И совершенно нихрена не понятно, если допустим у завода есть внутренняя система общения (какой-то свой форум допустим), с какими-то закрытыми от посторонних разделами, и там часть СОТРУДНИКОВ этого завода зарегались с гмейлом например, и никого вообще кроме сотрудников этого завода там нет (допустим через отдел кадров админ активирует пользователей, чтобы конкуренты нос не всунули) - это что, нарушители? )
Это Вы еще про разведку примеров не приводите! Там-то уже просто диверсия получится безо всяких сегментов))
Не знаю, я читаю закон, и согласно закону требуется не избавление от гмейла как такового, а верификация российских пользователей одним из указанных способов, без запрета гмейда если использован не завязанный на электронную почту способ.
Не понятно только, как узнавать что пользователь из России.
Дело не в гмейле, дело в том, что прописав запрет, не прописали механизм верификации сервисов (отечественные или нет), не прописали отраслей применения, не прописали механизмов внесения корпоративных почтовых служб и т.д. и т.п.
Короче, как обычно... Повторюсь, я не против верификации пользователей в рунете, но делать это надо головой, а не пятой точкой (я про введение запретов всяких)
А на электронную почту, просто в силу исторических причин, завязано процентов так 70 сервисов ("современные" зачастую завязаны уже на номер телефона или что-то еще).
И сколько было конфликтов с блокировками ящиков у пользователей российских (и якобы российских) сервисов почтовых с блокировкой и отжимом ящиков - не сосчитать. И это в таком аспекте тоже принесёт массу весёлых впечатлений случайно задетым...
Короче одно лечим, другое калечим.
Это разумеется не Вам посыл и бухтение, но может кто-то здравый из властей прочтёт и поправки предложит... Коль сами не догадались до банальных вещей.
Ну вот я выше пример привёл про корп. форум "закрытый" (от посторонних). Движки форумов по большей части авторизацию через мыло реализуют (даже если его вручную админ внёс для пользователя и того пользователя завёл). Нет там никакой интеграции ни с смс, ни с гос системами авторизации. Вот и выходит, что оп - и ты уже нарушитель. При том что все данные всех сотрудников есть в отделе кадров. Но регистрация происходила не через указанные механизмы...
Дело не в гмейле, дело в том, что прописав запрет, не прописали механизм верификации сервисов (отечественные или нет), не прописали отраслей применения, не прописали механизмов внесения корпоративных почтовых служб и т.д. и т.п.
Короче, как обычно... Повторюсь, я не против верификации пользователей в рунете, но делать это надо головой, а не пятой точкой (я про введение запретов всяких)------
ВотЪ , изначально некорректно прописанные условия ,,закона,, которые в итоге приводят к куче подзаконных актов/махинациям/коррекциям .
Т.е. имхо конечно, делается это либо от недостатка знаний , либо намеренно.
Насколько я понимаю законопроект, он касается ресурсов в сети интернет, то есть если закрытая корпоративная система из общедоступного интернета недоступна, её этот законопроект не касается, тем более что авторизация и идентификация пользователя делается в таких системах средствами самой корпоративной сети, по крайней мере пока не видел корпоративную сеть, где кишели бы анонимы.
Закрытые корп системы (на мелко-средних всяких предприятиях) вполне бывают доступны и из интернета, если несколько филиалов (другое дело, что никто посторонний туда зарегаться не может, иначе уж совсем дебил систему общения поднял). Более того, это нормально, т.к. расходы на ИТ сопровождение очень сильно снижают организациям с маленьким кошельком.
У более менее серьезных организаций может быть впн тунель поднят с сертификатами для каждого конкретного пользователя (серты для доступа к опенвпн выписывает админ, например, индивидуально), и доступ чисто по ip этого собственного приватного туннеля.
Но намного больше организаций, где даже задачу поставить внятно не в состоянии и нанять спеца. А вопросы и проблемы решать надо, чтобы работал бизнес, у людей были рабочие места, платились налоги, наполнялись магазины, производились закупки листового металла или там еще чего.
Вот пример простой и совершенно жизненный - два филиала по 15-20 сотрудников. Один в Самаре, другой в Барнауле. Что там, что сям нет ни денег на толкового админа, ни самого по себе толкового админа.
Простое решение оперативного общего (группового) взаимодействия - на серваке своего личного сайта поднять бесплатный форумный движок или скажем тикет-систему (допустим он в РФ, но на площадке одного из хостеров, это вообще может быть вирт хостинг за 100 руб в месяц).
Секретарша Маша берет бесплатный phpbb или smf например, и парой кликов делает "внутреннюю трепалку". Закрыть посторонние регистрации она сможет. Закрыть от интернета - уже сильно сложнее. А уж прицепить гос. авторизацию, или телефонную, или через смс, или написать плагин для подтягивания списка белых адресов почтовых сервисов - уже нет. Ну и всё, и Маша - вражья морда, и организация - нарушитель.
Я же говорю, я не против самой идеи, выпиливать вредителей из рунета необходимо. Но то, как это делается вот из новости, от которой пошло это обсуждение - это либо лютое скудоумие и нежелание экспертов привлекать (вот например хотя бы Ашманова, толковый очень и патриот не по бумажкам, а по делам), либо вредительствование намерянное.
А еще у нас вроде бы дефицит айтишников, да? ведь убежала толпа? кто решать то будет новую задачу, кто будет тушить очередной иннициативно-законодательный пожар, от кого оторвём? ) От астралинуксовой команды? От тех, кто дронами занимается? Есть у нас свободные кадры, чтобы очередную иннициативу "решать"? ))) Вангую массовость проблемы, увы.
(ау, депутаты, надеюсь вы это читаете тоже, и хотя бы поймете, что до запуска ваших хотелок надо их привести в такой вид, чтобы у половины организаций, где возможна регистрация пользователей, не случилась лютая попаболь от таких непродуманных, но запускаемых иннициатив)
Хотя до декабря (с декабря же вроде вступить должно) - не успеют ни причесать, ни сервисов гос запустить для простой интеграции...
Алекс, это тоже не Вам по большому счету всё. Просто многие читатели АШа сильно далеки от темы, и я взял на себя смелость несколько прояснить...
И еще. Вот за годы своей работы я с точки зрения всяких регулирований не увидел ни разу упрощения работы себе и своим клиентам (я не только про ИТ, я и про бизнесы своих клиенток). Постоянные усложнения, зарегулированность того, что и раньше без проблем и косяков работало и т.п.
Дайте блин работать спокойно, не решая проблем там, где их быть не должно вообще... Не пишите свои законы так, чтобы было вообще непонятно, что как трактовать и кто на ком стоял....
Увы, *слишком* оптимистично.
По моим наблюдениям *профанация* ДА слишком часто заменяет полноценную реализацию (с которой многие профессионалы от ИБ знакомы сильно на Вы).
Согласен полностью.
Законы принимают так, чтобы закрыть проблему, точнее - заткнуть. Закон принят, механизма реализации нет, процесс умер и вопросов никаких. Дума хоронит бизнес целыми направлениями и это гораздо легче, чем вникать в детали. Компетенции не требует точно.
Если нужно что-то прекратить - пустите профана это регулировать.
По-настоящему нужен один закон - чтобы без подготовки и тестирования всех подзаконных актов, разъяснений, механизмов исполнения, проверки технической возможности никаких законов принимать не могли. Лучше пусть работают старые - они хоть работают, и с ними привыкли жить. Работает - не трогайте, пока новое не заработает лучше в тестовом режиме.
Плюс формирующим воздействием — в случае ненадлежащего качества реализации — *принудительно* применять законодательные нормы к авторам/лоббистам (и ТОЛЬКО к ним), сроком *минимум* на две пятилетки.
Явно не хватает простого защищенного механизма отрешения от власти (от должности, от статуса депутата и т.д.) по результатам деятельности или бездействия, как обратной связи.
В эпоху цифровизации это не проблема, и начинать надо именно с инструментария, с обеспечения воздействия общества на избранников.
Нынешняя система демократии всеобщего голосования устарела и требует приведения в работающее состояние.
Фундаментальное свойство Власти — подавление обратной связи с *объектом* управления.
По поводу АШа, то вы не используете почту для текущей авторизации. На АШе требуется только пароль и всё. Те сайты, где после ввода пароля на телефон или почту приходит разовый пароль подпадают по требования закона, а АШ нет. По крайней мере пока двухфакторную идентификацию не введут. ))
Ну и по поводу "российскости" того же яндекса или мейла тоже есть вопросы. Как её определяют интересно?
Однако для первичной авторизации (регистрации) почта требуется. Соот-но распространяется на любого нового пользователя.
Ну да, ага. Если его закрыть от регистрации новых пользователей.
И это тоже. Ни механизма, ни процедур определения российскости не приведено. Ни источника верификации сервисов и хостов, как российских.
Дыра на дыре и отсутствие внятных однозначных формулировок.
Кое-какеры...
Это касается новых пользователей в момент регистрации.
Подсказать как это обойти пользователю находящемуся на территории РФ?
Причём есть минимум два способа. Например, ездите ли вы в командировки?
Это касается не пользователей, это касается хозяина ресурса (в данном случае Алекса). В этот момент он становится нарушителем.
Зачем обходить то, что в данном виде и принимать не следовало? Кроме того, обход в данном случае снова же сделает нарушителем не пользователя, а владельца ресурса. И АШ - это частный случай. Я уже несколько других, куда более общих и распространенных описал. Начиная от онлайн-магазинов и заканчивая внутренними трепалками для например снабженцев двух филиалов в разных городах.
Ничего подобного. В общем виде при отсутствии указанного вида авторизации просто нет доступа в личный кабинет и всё. Ответственность будет в том случае если на джимейл будет отправлен пароль пользователю находящемуся в России (тут кстати интересный вопрос по иностранцам на территории РФ возникает - им для пользования своих ресурсов тоже надо почту на мейле завести будет или как?) и после этого принят при авторизации.
Если пользователь зарегистрировал себе аккаунт на АШ находясь в Минске или Ереване, то никакого нарушения нет. Читайте что написано выше в проекте закона
Вы не поняли. Я о том, что трактовка (приведенная Алексом) вполне может включать внутреннюю систему сообщений. Также сюда с такой формулировкой вполне подпадают лички интернет-магазинов (т.к. там пользователем получается некоторая информация только после входа). Ну и т.д.
И чтобы не стать нарушителем, в момент регистрации каким-то магическим образом Алекс должен понимать, является ли гражданином РФ регистрирующийся, и является ли российским почтовым ящиком (сервисом) тот ящик, с которого этот некто регистрируется.
Невозможность Алекса идентифицировать регистрирующегося человека врядли освободит его от ответственности. Вот в чём косяк. Один из.
Тут другое интереснее:
т.е. перечень исчерпывающий и иного не доступно.
Отсюда если следовать вашей логике, что доступ к переписке, а также к статистике личного кабинета, есть доступ к информации согласно ст. 8 149-ФЗ, тогда вы правы в этом смысле, но тут последствия шире получаются. Выходит так, что сейчас всем у кого нет двухфакторной авторизации её придётся срочно делать любым оговорённым в п. 1-4 способах.
Можно конечно попробовать съехать в части доступа в личный кабинет, т.к. эта информация не для широкого круга лиц, т.е. непубличная, а отдельный пароль на почту или телефон присылать в случае размещения статей авторами, но двухфакторную идентификацию делать всё же придётся. В этом суть в поправках статьи 8 (добавление части 10)
О чем я и толкую. Однозначной трактовки из приведенного вывести невозможно (не определено, что под информацией подразумевается, и т.д. и т.п.). Соответственно пока всё это не будет детализировано и разъяснено до последней запятой для максимума практических случаев и ситуаций, хренова туча людей и организаций - нарушители (как минимум - формальные).
Так это никоим образом не обозначено в тексте. Хрен выйдет съехать. Нет разделения на публичную и непубличную.
Очень много чего нет в данном тексте. Это доставит кучу проблем и головняка, как технического, так и бюрократического. Самое время, ага, занять кучу народа непродуктивной ерундой (попытками понять что это такое и как с ним теперь жить, чтобы не стать нарушителем)
Всё есть в законе: ст. 2 Основные понятия, используемые в настоящем Федеральном законе
Есть - статья 2, п. 9
Личная переписка вне распространения получается.
Так что подготовлен очередной виток заворота гаек - двухфакторная авторизация теперь по факту обязательная для всех сайтов с личными кабинетами как минимум. В правоприменении можно дойти до маразма и заставить авторизовываться вообще на любом сайте, как у китайцев например.
Ну так вот же, сюда замечательно вписываются личные сообщения!
А тут вопрос трактовки со стороны применителей.
Нет, не получается. Вот я вам отправлю личку - вы для меня неопределенное лицо. А если я 10-20-100 пользователям отправлю личку? Налицо будет распространение (мной) информации неопределенному кругу лиц (от неопределенного для них лица).
И хозяин сайта и знать не будет, к чему и кого условный я призываю, например. (и к слову, такие примеры есть - некоторые "организации" вполне себе общались через личку всяких игровых сервисов, зная, что почтовики сканятся автоматом).
Но как я написал (существенно ниже), при блокировке (не бутафорской) сервисов анонимизации и подмены IP, этот закон воооооообще не нужен. Сопоставить данные от владельца сайта (IP участника) и данные от провайдера дело 5 секунд.
Я не понимаю, что мешает прозрачно видеть каждого пользователя рунета. Как я уже написал - крупнейший провайдер саботирует запрет ТОРа... Я через тор сижу, и проблем со стороны провайдера не испытываю никаких. Мне даже бриджи не надо включать...
Уже достаточно законов, чтобы определять пользователя. Другое дело, что применить их грамотно не могут. Значит надо еще что-то запрещающее принять... Но в данном случае ответственность получается не на тех, кто средства контроля и блокировок должен обеспечивать (наши органы), а на владельцах ресурсов. Видимо, так сильно проще выходит...
Всё, я спать. Итак пол ночи проработал, а пол ночи на АШе просидел :) Возможно по побудке продолжим. Хотя я по моему уже вполне внятно косяки обрисовал. Вот и вы уже сомневаться начали. Хотя сначала были уверены, что всё норм :) Добра!
Безотносительно остального вами написанного, вот тут вы неправы:
Неопределённый круг лиц это публикация статьи, а вот адресная рассылка это определённый круг, пусть и достаточно широкий, т.к. вы обращаетесь к конкретному адресату, пусть вы его и знаете под сайтовым именем "Вениамин". Так что в части личной переписки ещё спорить можно, а вот для всего остального придётся делать двухфакторную идентификацию...
Зачем спорить. Мне лень, я спать хочу. А спорить я не хочу :)
Я аргументы грядущего головняка привел, много аргументов, со стороны участника рынка ИТ со стажем больше 20 лет.
Вижу, что Вы и сами узрели, что в текущем виде эта тень на плетень в состоянии доставить массу хлопот очень многим. О чем я собственно и начал исходное повествование.
Пока всё это растолкуют и т.п. - куча нервов, ресурсов и времени будут потрачены впустую.
Это работа кое-какеров, а не ответственных законотворцев. Так делать нельзя.
Однако позвольте обратить внимание на то, что в нашей юридической практике закон далеко не всегда (?) является самодостаточной сущностью.
Из линии моего опыта и применительно к предмету статьи отмечу пример закона «О связи».
С подзаконными актами (например правила оказания услуг почтовой связи, правила оказания услуг телефонной связи), детализирующими и часто меняющими умолчательное прочтение требований закона.
Пока акты и разъяснения детализирующие выйдут, от инфарктов погибнет куча народу с такими формулировками... повторяется маразм (исходный, и в чем-то длящийся) закона о персональных данных (касательно их обработки в этих чёртовых интернетах)
Сколько можно свою работу делать через проктологический канал? Почему простые граждане не принимают законы, как жить и работать депутатам? Может тогда они (депутаты) ответственнее к своей работе начнут подходить?
Вот реально новость выбесила с ночи. Мало у нас внутри забот, надо добавить... На ровном месте. Просто не подумав и не доделав, закинув сырое обязалово в топку паровоза истории...
А зачем вам почта с хранилищем во вражеском государстве ?
Я без подкола ...
И кстати правильно . Госуслуги это ресурс для жителей России , а если ты Россиянин , так и почтовый адрес Обязан быть соответствующий .
Ну вот у меня давно был случай, когда майл ру заблокировал на ровном месте почтовый ящик, который для регистраций на всяческих сайтах и в имгах использовался. Реально на ровном, без объяснения причин и еще и в тот момент, когда мы уезжать уже в отпуск должны, а там всякие ржд, букинги к нему привязаны. Пришлось быстро критичные для поездки сайты перекидывать на другой ящик, потому что ну вот мало ли, забудешь иногда пароль и что делать. Переписка с админами длилась месяц, что б разблокировали. По общению с другими людьми узнала, что такое не единичный случай. Не, я понимаю, что и жимайл такое же отчебучить может. В теории. Но пока не отчебучивает в отличии от
https://otvet.mail.ru/question/168903170 — 9 лет назад.
В гмейл иногда можно подать максимум две апелляции.
Удобно было, зарегистрировался там 20 лет назад, да так и пользовался. Яндекс, конечно, тоже имеется.
Страницы