Ответ на пост «За почту GMAIL штраф до 700 тысяч рублей»
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@Gmail.com, @icloud.com, @Mail.ru, @Ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.
Коротко: новый закон не запрещает Gmail и не штрафует обычных пользователей.
Он вводит штрафы для владельцев российских сайтов и приложений, если они позволяют входить через иностранные системы авторизации - например Google Sign-In, Apple ID, Facebook Login и т.п.
Если у вас аккаунт user@gmail.com, а российский сайт:
- сам хранит ваш пароль,
- сам проверяет пароль,
- сам отправляет код подтверждения,
- сам создаёт сессию после входа,
то Gmail здесь просто адрес почты, а не система входа. Это разрешено.
Система авторизации - это не адрес электронной почты, а механизм, который подтверждает, что входите именно вы. То есть где хранится пароль, кто его проверяет, кто отправляет код подтверждения и кто принимает решение "пользователь успешно вошёл".
Gmail, Outlook или iCloud в этом случае могут использоваться просто как "почтовый ящик" для получения писем с кодом. Они не подтверждают вашу личность и не говорят сайту "этому пользователю можно доверять". Это делает уже сам российский сайт.
