Как запретить пользователям из России обращаться к определенным функциям сервера?

Question

[Miskler]

В связи с изменением в законодательстве хочется подготовиться и запретить пользователям авторизоваться через Google на моём сервисе, но для этого нужно определить что он находится в России.

Как я посмотрел браузер не отправляет в запросе местоположение пользователя, т.е. единственный способ это как-то по IP определить страну пользователя. Как я понял четкой связи между IP--физическое местоположение нет, но у провайдеров есть определенный зарезервированный за ними пул адрессов (как понимаю постоянно обновляющийся).

Т.е. единственный выход выходит сервисы которые каким-то образом ассоциируют IP со страной/регионом/городом и делятся этой информацией по подписке, либо предоставляют готовую БД, но у неё проблема в потере актуальности со временем, что в будущем может стать лазейкой:

По этому ip из России можно авторизоваться, с вас 300тыс рублей штраф.

Я знаю что сейчас ответственность не предусмотрена, но в будущем уверен будет, и лучше подготовится сейчас.

Каким способом можно реализовать эту систему чтобы она не превращалась в статью расходов и со временем не теряла актуальность?

Comments

[Miskler]

Юрий, а где найти такую компанию?

[Василий Банников]

Miskler, самому открыть)

[Miskler]

Василий Банников, а кто даст её открыть?) У меня гражданство только российское)

[Miskler]

Юрий, со школьных обедов будет сложно откопить на это дело( Может все таки предложите программную реализацию задачи?

[Сергей delphinpro]

Miskler, чекайте по IP, обновляйте базы раз в неделю. Все равно других вариантов нет.
Принадлежность IP к странам более-менее актуальна. Актуальность чаще теряется на уровне городов-районов.

Answer 1

[CityCat4]

Каким способом можно реализовать эту систему

Спросить. Честно, топорно. Тебе соврали - ну, да, может быть, но косяк не твой. Ты вынужден верить на слово, так как все сервисы геолокации могут показывать неактуальные данные, и кроме того, есть VPN, которые сейчас вовсю применяют как для обхода ограничений РКН, так и для обхода ограничений "IP из РФ/РБ".
Поэтому единственный способ - спросить. (Это примерно то же самое, что с ответом на вопрос "Уже есть 18?". Никто пока не может проверить, правда ли это и все вынуждены полагаться на слово)

P.S. Почему я так выделил слово пока? Потому что время, когда тырнет будет по паспорту (госуслугам, ЕГА, черта лысого) и без того было не за горами, а бездумная VPN-изация его тащит за собой, как сержант-старослужащий первогодка на марш-броске - цепко и безжалостно.

Answer 2

[Михаил Р.]

ФЗ № 406 от 31.07.2023:

Владелец сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети "Интернет", и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

- с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке...
- ЕСИА...
- ЕБС...
- с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети "Интернет"...

Закон обязывает всех владельцев "веб-площадок" (зарегистрированных на территории РФ) с возможность авторизации пользователей (находящихся на территории РФ) производить эту "авторизацию" любым из перечисленных способов.

Тут интересный момент в "находящихся на территории РФ" пользователей. Соответственно, Вы обязаны удостовериться, находится ли пользователь на территории РФ или нет. Варианты определения геолокации пользователя:
- IP-адрес (своя бд, сторонний сервис, WebRTC).
- HTML5 Geolocation API.
- Часовой пояс браузера.
- Геолокация у мобильных устройств.

Но в отношение IP имеется №152-ФЗ, который гласит "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)", а значит IP сюда тоже можно "натянуть на глобус", соответственно, вначале необходимо спросить разрешение на обработку данных о любой геолокации пользователя, а затем, если он разрешит - проверять, "верблюд ли он". Соответственно, если пользователь не разрешит, то Вы не имеете право предоставлять авторизацию, через "иные сервисы".

Т.е. единственный выход выходит сервисы которые каким-то образом ассоциируют IP со страной/регионом/городом и делятся этой информацией по подписке, либо предоставляют готовую БД, но у неё проблема в потере актуальности со временем

Именно, платить в случае не верного определения - Вам.

Answer 3

[hesy]

Самый простой способ, по таймзоне:

function isRussianTimezone() {
    let timezones = [
        "Europe/Moscow",
        "Europe/Astrakhan",
        // ...
    ];
    
    return timezones.includes(
        Intl.DateTimeFormat().resolvedOptions().timeZone
    );
}

Answer 4

[Dmitry Bay]

1) Запрашивать перед входом/авторизацией страну пользователя. Человек не из России? Ок, показываем G авторизацию. Человек может обмануть.
2) Спросить через браузер геолокацию. Почти всегда точно, но и тут человек может обмануть.
3) Узнать по IP город человека. Почти всегда точно. Можно использовать сервисы типа дадаты. Человек может обмануть систему.

Так вот если человек всегда обманет систему, не проще использовать самый простой способ выбора страны?

Comments

[Miskler]

1) Отпугнет
2) Отпугнет
3) Вероятно единственный выход

[Dmitry Bay]

Miskler, Значит вы не правильно поняли смысл моего ответа.

CityCat4 правильно сказал, что ответ пользователя некорректный - не ваша проблема.
Для вашей системы - этот пользователь - хакер.

Ваша задача, формально защититься от авторизации из гугл из России.
На кнопку - авторизироваться из гугл - вешаете попап - "Вы из России?" и дальше блокируете авторизацию.

Answer 5

[Василий Банников]

Почитал я этот ваш ФЗ.

Если ты, как гражданин России или российская организация, являешься владельцем сервиса, то ты обязан убрать иностранные способы аутентификации в принципе для всех пользователей.

Если сайт не российский, то ты не обязан россиянам запрещать аутентификацию через Гугл и прочие.

А ещё всё ещё нет никакого наказания за нарушение этого закона. Так что пока можно особо не шевелиться по этому поводу - авось ещё какие правки придут.

А вот запретить доступ к отдельным функциям - действительно проще через явный вопрос "из какой вы страны". А если пользователь ещё и деньги тебе платит - можно к региону карточки привязаться.

Comments

[CityCat4]

можно к региону карточки привязаться.

Как раз сейчас полно народу у которого карточки "не того" региона :)

[Василий Банников]

CityCat4, в любом случае привязка по региону карточки работает сильнее, чем привязка по вопросу.
Тем более, что если человеку дать возможность оплатить своей обычной картой - он оплатит обычной.

[CityCat4]

Василий Банников, Ну да, многие не думают при этом, особенно если карт одна-две.

Answer 6

[Дмитрий Лупонос]

У Вас в задаче и в законе нет несостыковок. Делаете сайт для РФ, авторизацию для некоторых функций по закону (мини нода на сервере в РФ к основному сайту с копией движка и доступом к основной бд сайта). Просите датацентр обеспечить подключение к этой ноде только клиентов из РФ.
На сайте не из РФ отслеживаете посещения, если подозреваете, что из РФ , то просите авторизоваться по закону РФ. И переводите на мини-ноду соединение.
На основном сайте вне РФ анархия способов авторизаций