Мій коментар про #Дію хочу винести в окремий пост
Мій коментар про #Дію хочу винести в окремий пост. Доопрацьований і більш предметний. Тому що…
Ключове питання архітектури – на якій платформі здійснюється:
1) аутентифікація користувача з метою забезпечення доступу в осередок сервісу;
2) авторізація прав доступу з метою оперуванням даними в осередку сервісу.
А) Якщо це “банківська платформа”, а доступ відкривається до осередків багатьох сервісів, то виникає кілька незручних запитань, пов’язаних насамперед з правами “банківської платформи” на обробку і пропуск через себе даних, на що згоду клієнт апріорі не давав .. . або давав? тоді – яким чином? і це не всі питання, ще більше каверзні не розглядатимемо.
Б) Якщо це “незалежна платформа” ідентифікації, то яким чином може гарантуватися коректність аутентифікації різних сервісів і тим більше забезпечення авторизації прав доступу?
В) Якщо це “платформи самих сервісів”, то яким чином сервіси взаємодіють із запропонованою “єдиною платформою”, оскільки володіють кожен своїм набором засобів аутентифікації і тим більше часто вже не вирішеним завданням авторизацією прав доступу.
Ні на одне питання відповіді у вирішенні імені #Дія не знайшов.
Тобто ще раз – архітектура системи #Дія від початкової точки не містить трасту. Це помилка і сумно.
Далі можна використовувати будь-які досконалі методи і засоби шифрування. Вони будуть насаджені на некоректну архітектуру.
Необхідне уточнення.
Тут можна звернутися до теорії, так до теорії – як облаштовувати – управляти Інтернетом не виходить – Інтернет (Internet governance) в цілому і в окремо взятій країні -, яка говорить, що необхідно будувати архітектуру Інтернет “всього чого завгодно – організації доступу до сервісів і його зберігання, контенту сервісів, організації експлуатації сервісів і т.п. ” на принципах мультістейкхолдерізма. Але цього мало, це умова достатня, але не необхідна. А необхідне – наявність трасту між стейкхолдерами.
Схоже, що “автоматизація хаосу призводить до хаосу автоматизації”. Тому що траст.
І вельми характерний приклад з практики.
При вході в особистий кабінет ПБ.
Номер телефону, потім пароль, потім [опціонально] приходить код авторизації, що і називається двухфакторною авторизацією. Погоджуся, що це двухфакторная, але чи авторизація?
Або все-таки це аутентифікація? А про авторизацію в особистому кабінеті ПБ навіть мова не йде?
Ви можете сказати:
– Дозвольте, але тут же є траст !?
Так, траст в запропонованій системі ПБ є. Але якісний і цільової складу стейкхолдерів і їх завдань категорично відрізняється від того, що пропонує #Дія, див. Вище пункт (а)
І так …
пмсм, щоб #Дія була дієвою їй необхідно вирішити, як мінімум, два досить невирішених нею завдання:
1) технічне завдання – розібратися і впорядкувати дії з поняттями “аутентифікація” і “авторизація”, попутно не забувши і не “накосячіти”, соррі, з поняттями “верифікація” і “валідація”
2) організаційно-адміністративне завдання – розібратися і вирішити завдання створення трасту.
Це – як мінімум. У фахівців з криптографії є свої зауваження, що підтверджує принцип залучення багатьох стейкхолдерів ?