Депутаты Госдумы приняли в первом чтении законопроект об административных штрафах до 700 тыс. рублей для владельцев российских сайтов за нарушения правил авторизации пользователей, а именно за авторизацию с помощью зарубежных сервисов, в том числе иностранной электронной почты.
Законопроект был внесен группой депутатов во главе с первым заместителем председателя комитета Госдумы по информполитике Антоном Горелкиным. Кодекс РФ об административных правонарушениях предлагается дополнить статьей, предусматривающей штрафы за неисполнение обязанности по проведению авторизации пользователей при предоставлении доступа к информации.
По действующему законодательству на территории РФ авторизация пользователей должна проводиться с использованием российского номера телефона, единого портала госуслуг, единой биометрической системы или иной информационной системы, владельцем которой является гражданин РФ или российское юрлицо. Неисполнение этого требования повлечет штраф от 10 до 20 тыс. рублей для граждан, от 30 до 50 тыс. рублей - для должностных лиц, от 500 до 700 тыс. рублей - для юрлиц.
Я посмотрел законопроект. Цитирую важный момент:
https://sozd.duma.gov.ru/bill/1069392-8
...в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию...
У нас вся публикуемая информация доступна всем, она не требует авторизацию.
Вывод - нас эти требования не касаются.
Комментарии
То есть российским сайтам не нужны пользователи из-за рубежа?
По этому закону, если пользователь авторизуется из-за рубежа, то на него ограничения не распространяется. Таким образом, закон дает иностранным пользователям больше прав, чем российским.
Ясно.
Тогда это хотя бы не так глупо выглядит, как при первом прочтении.
Вот берут меня сомнения. Это всё предположения, не больше. Уже наличие заграничной регистрации легко может привести к ограничениям в возможностях. Гугловская почта у меня в отличие от почты в майл и яндексе как то незаметно сдулась и прекратила открываться. А вроде ведь и пользовался постоянно. Но основной конечно не была. Но переписка велась, каждую неделю.
Странно. А у меня работает, хотя два года не пользовался.
Ну то есть нельзя, но чрез впн можно, так что ли?
А как же Дмитрий Медведев пишет в Твиттере ?)
Из Беларуси
Маша Захаарова тоже там пишет. И когда в первый раз Телегу блокировать пытались, тоже писала. Им - можно.
Гражданам России никто не запрещал пользоваться Свитером. Это Свитеру (иксу) запретили работать на территории России. Маша и Медведь пишут там для иностранной аудитории. Вы тоже можете.
Так они пользуются ВПНом?
Да или нет?
Если да, то почему простому смертному "не рекомендуют" пользоваться путями обхода запрета?
Ну так и им не рекомендуют, прост они не слушаются
. Минздрав же тоже много чего не рекомендует, но кто его слушает.
Да ланна. Важные люди давеча два раза уже сказали, што ВПН юзать можно, мол великодушно разрешают.
Так шта, пока живем без МАКса.
Он просто не сможет авторизоваться из-за рубежа.
А можно зарегистрировать российский почтовый ящик, не имея российского телефонного номера?
#Sarcasm mode on
И не появится ли услуга "Создать российский почтовый ящик", а за ней ограничение РКН на количество почтовых ящиков, зарегистрированных на один телефонный номер?
#Sarcasm mode off
Вы будете смеяться, но можно и даже не сложно! Пример: у своего домашнего провайдера заказываете услугу "белый адрес", у регистратора доменных имён покупаете себе домен - хоть .ru, хоть .рф, затем на домашнем компе разворачиваете почтовый сервер для этого домена (операция не страшная отнюдь, уже лет 10 как) - и создаёте себе почтовый ящик не имея номера телефона!
Более того, вы можете создавать почтовые ящики не только себе! Но здусь уже могут быть разные нюансы.
Вы умный! Честно.
Но могут установить, что почтовый адрес только от "российского" почтового домена типа Яндекс, Майл, Рамблер. И всё.
Там ума много не надо: на всё это есть пошаговые инструкции на русском языке, причём вполне понятные.
А установить такое, как вы написали - могут легко. Например, на каких-нибудь государственных сервисах. Это легко лечится пинками через те же госсервисы, может быть с привлечением (вышестоящей) прокуратуры.
Но здесь ещё надо понимать, что речь в законе идёт именно про аутентификацию. В случае электронной почты - это когда вам на почту присылают пароль конкретно на эту сессию. В том числе и в качестве второго фактора. Как канал для возобновления доступа может использоваться любая почта: аутентификацию вы будете проходить не почтой, а другими методами. Впрочем, от благонамеренных идиотов это сограждан не защитит никак. Ну так и раньше не защищало: нет противника страшнее, чем союзник-идиот (скажем так).
Доп.
ко второму абзацу: то есть новый пароль можно высылать на любую почту. А вот "для продолжения работы с сайтом введите код из письма" - только с российских почтовых сервисов.Логин = почта. Ник любой. Но вход по почте и паролю. По российской "официальной" почте и паролю. Такое уже встречал. Искать по KeePass-у не буду - там просто уже много всего.
Можно ещё для "защиты от мошенников" добавить СМС. Да! И на почту приходят уведомления и служебные сообщения.
Если Вы регистрируетесь в России, то добро пожаловать!
Закон направлен против тех, типа российских, сайтов, регистрация на которых хранится за рубежом
Не только. Отсекаются все граждане, которые не имеют мобильного телефона, скажем по простой причине - им некуда звонить, а если человек никуда не звонит в течении, вроде, двух месяцев, то его номер блокируется телефонной компанией.
Тиньков не блокирует. У меня их симка активированная лежит уже лет 7. Как-то проверял - работает.
Ну да, не звонит, такой тёмный тёмный, но на сайтах регистрируется.
Если регистрация по имени и паролю, то причем тут телефон?
При регистрации практически везде необходим номер телефона. Даже и не знаю, где без него можно зарегистрироваться. А в поле ввода номера уже стоит неудаляемая +7.
Вы никак не можете определить место где хранятся ваши регистрационные данные, в принципе не можете.
Я спокойно могу поставить вам сервис который будет в РФ, с IP адресами на хостинге в РФ
Вы будете спокойно стучаться в него, но получать реальные данные вы будете откуда нибудь с Нидерландов.
Неясен алгоритм установления владельца того или иного почтового сервиса. Точно также не ясен алгоритм установления гражданства пользователя (IP адрес не предлагать - он может быть иностранным и у российского гражданина, и наоборот иностранец может заходить с российского IP).
То есть, чтобы это выполнить, нужно сопроводить каждый инет-запрос каждого россиянина автоматически получаемым флажком, указывающим что он наш гражданин, иначе это сделать невозможно.
Аналогично нужен сервис, автоматически выдающий инфу на все почтовые сервисы, есть ли там российские граждане в совладельцам в достаточном количестве, чтобы сервис считался легитимным.
Аналогично нужен сервис, автоматически выдающий инфу на все почтовые сервисы, есть ли там российские граждане в совладельцам в достаточном количестве, чтобы сервис считался легитимным.
c почтовыми сервисами одна из возможных проблем что внезапно e-mail бывает не только от "сервисы"(gmail.ru/mail.ru/yandex.ru)
бывает почта на "своих доменах", компании разные, айтишники кому интересно и прочее. бывает даже такое как услуга (собственно услугу почта на своем домене а остальное наше - предоставляют и гугл(в нагрузку получим google account) и яндекс и VK/Mail.ru и все крупные сервисы, почти всегда это денег стоит на пользователя).
Ну вот допустим я заведу себе почту vikarti@xakep.ru - она будет легитимной? А как это установить(будет - потому что xakep.ru - там российское ИП и прямо сказано а услуги почты на этом домене они продают и технически их VK обеспечивает(вот только если прямо не спросить - не узнаете)). Только по тому что домен - .ru?
Хорошо - а вопрос чуть хитрее - тот домен v...n.com что у меня в профиле - легитимный согласно этим правилам?(домен то .com а не .ru хотя есть аналогичный .ru) а вот почтовая инфраструктура там сделана весьма своебразно (с моей точки зрения - легитимный - потому что условие по гражданству владельца - выполняется, как и по физической локации основной часть почтовой инфраструктуры, но вот способа проверить это для любого сайта - я не вижу). Что еще смешнее - почта этого домена где только не жила(и гугл и яндекс и proton теперь уже вот у себя)
Или про это все как обычно никто не подумал?
Или это попытка загнать всех под mail.ru/yandex.ru?
Или как обычно - это будет повод для придирок если хочется? или попытка сделать реестр разрешенных к логину почтовых сервисов что ли?
Яндекс пользователям 360 дает по их произвольному желанию имена ящиков типа a_b_r_a@k_a_d_a_b_r_a.ru, где абракадабра - любые интересные пользователю слова независимо от существования сервера кадабра.ru в реальности. Вот уж загвоздочка...
в этом случае как раз проблем особо нет, смотрим просто на mx запись в dns домена
депутатам неинтересна реальная возможность исполнения закона, видимо в ответ на их симуляцию деятельности нужно так же имитировать бурную деятельность - типа, поставить плагин к nginx, который будет отгружать geoIP. Кстати, как можно быть владельцем опенсорсного решения? И что делать, если "твоя" информационная система не поддерживает geoIP?
Для меня самый интересный вопрос, какие сайты считаются "российскими"? Находящиеся в доменных зонах .ru и .рф? Попадающие своим хостингом в пулы адресов зарегистрированных российских хостеров? Пользующиеся услугами российских облачных сервисов? Имеющие ту или иную долю пользователей с российскими ip? Имеющие ту или иную долю пользователей с российским гражданством? Использующие русский язык интерфейса как один из его вариантов? Или самый банальный случай - до которых может и хочет дотянуться тщь майор, и на которых есть понятная ему информация на том самом русском языке?
Ну по ru зоне ок, что по com, net, ai и тд зон дофига. Это вариант дополнительной регистрации всех доменов
типа заходишь на госуслуги и добавляешь, этот домен мой.
Других вариантов тут нет. Для этого нет технологической базы. Это уже из разряда либо административные костыли с чебурнетом либо свои посконные технологии со своим стэком и тд. Не может быть сервиса по инфе на все почтовые сервисы, почта = домен. Для любого домена можно завести почту, и не важно какого уровня домен.
я могу завести условно мой-сайт.рф
сделать сабдомен а.б.в.г.д.е.ж.з.мой-сайт.рф
и сделать на него почту alexword@а.б.в.г.д.е.ж.з.мой-сайт.рф
более того если в днс есть запись www.aftershok.news
я могу сделать почту @www.aftershock.news
и так для любой записи....
Для понимания кроличьей норы.
А кто это такие? Вот к вам постучался клиент с IP 123.456.789.12, вы отдали ему страницу ввода логина-пароля. Пусть у нас логином был адрес почты. Это российский пользователь? Или зарубежный? Послать пользователя на сайт Думы или залогинить как обычно? Где есть сервис, который это определит и, самое главное, который отвечает за свое решение?
Блин, уж если умничаешь и пишешь пример IP - пиши правильно!
Комментарий автора:
Не выдумывайте лишнего:
"или иной информационной системы, владельцем которой является гражданин РФ или российское юрлицо"
Каким образом имя пользователя является информационной системой? Это не электронная почта, не телефон, не аккаунт госуслуг и не биометрия.
Имя пользовстеля хранится в локальной базе данных, что является той самой информационной системой
Имя - это в паспорте. В локальной БД лежит e-Jinn, что даже под персональные данные не подвести.
Надо отрубать работу с почтой и телефонами...Чтобы восстанавливать пароли оставить вопросы-угадайки.... Иначе затаскают... Ну или убирать хостинги из РФ, а так как хостить персональные данные за рубежом уже запретили - уезжать вместе с сайтом.
Наконец перестали жевать сопли и вводят понятные правила.
Понятные..... )))))
Чудик, оно не "понятные" оно вообще не понятные, без правил, без всего. Дядя скажет наказать, значит нарушил закон. Дядя скажет все правильно, значит молодец.
Оно не понятные, оно по понятиям. Конкретных людей.
Это сарказм?
обожаю когда о клоунах с иронией
Я так подозреваю, что это имеется в виду автоматическую регистрацию через гугл. Идиоты.
Это с каких пор обычный текстовый логин стал "зарубежным сервисом"?
Вообще то время логинов подходит к концу. Если ты иванов иван иваныч то и будь им. А не зверем за импортными буквами.
Я посмотрел законопроект. Цитирую важный момент:
https://sozd.duma.gov.ru/bill/1069392-8
...в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети «Интернет», и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию...
У нас вся публикуемая информация доступна всем, она не требует авторизацию.
Вывод - нас эти требования не касаются.
На самом деле речь идëт даже не о доступности информации до и после авторизации, а о запрете входа на российские сайты с аккаунтов, подтверждëнных иностранной системой идентификации. Один из авторов закона, Горелкин Антон Вадимович, первый заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи, в частности поясняет:
То есть большинство российских сайтов, где отсутствует возможность входа с аккаунтом к примеру гугло-сервисов или аналогичных, данное нововведение не коснëтся.
Технически, кнопка востановления доступа обеспечивает доступ через письмо на электроную почту, что является сервисом аудентификации.
Не нужен вход "нормальный" аудентификация резервным способо обеспечивается через почту, юрисдикцию которой определить не возможно.
Более того просто юрисдикцию системы авторизации также не возможно. За исключением глобальных корпораций типа гугла или эпла или еще кого.
Система авторизации поднимается минут за 10-15, это сервис который используется кучей контор для того чтоб тупо в свои ресурсы ходить по одному источнику сотрудников с едиными правилами и тд. Понятия юрисдикция туда ни как не притягивается, нет технических механизмов определения.
Это вариант закона и разряда "ты козел и ты должен"
Докажи что это не так.
Это способ аудентификации, который как раз и типа регулируют этим "законом"
Данный закон это пример вопиющей технической неграмотности тех кто его продвигал и тех кто его принял.
Это вот из разряда давайте запретим мяту, а что это? а это трава такая, зеленая, ок, давайте.
Запрещаем зеленую траву.
Никак нет, в данном случае электронная почта - это не сервис аутентификации, а сервис передачи обновлённых аутентификационных данных при утере старых, указанный как доверенный пользователем. А вот какой именно сервис используется для собственно аутентификации - вопрос, лежащий в совершенно другой плоскости, строго параллельной плоскости передачи обновлённых аутентификационных данных. То есть плоскости эти не пересекаются. Вообще.
Другое дело, что с технической грамотностью наших ветвей власти все вышеперечисленные соображения не играют никакой роли: иксперд икспёрднул, что восстановление пароля через яблопочту является аутентификацией - и всё: дорога дальняя в казённый дом!
Страницы