Мій коментар про #Дію хочу винести в окремий пост

Мій коментар про #Дію хочу винести в окремий пост

Мій коментар про #Дію хочу винести в окремий пост. Доопрацьований і більш предметний. Тому що…

Ключове питання архітектури – на якій платформі здійснюється:

1) аутентифікація користувача з метою забезпечення доступу в осередок сервісу;

2) авторізація прав доступу з метою оперуванням даними в осередку сервісу.

А) Якщо це “банківська платформа”, а доступ відкривається до осередків багатьох сервісів, то виникає кілька незручних запитань, пов’язаних насамперед з правами “банківської платформи” на обробку і пропуск через себе даних, на що згоду клієнт апріорі не давав .. . або давав? тоді – яким чином? і це не всі питання, ще більше каверзні не розглядатимемо.

Б) Якщо це “незалежна платформа” ідентифікації, то яким чином може гарантуватися коректність аутентифікації різних сервісів і тим більше забезпечення авторизації прав доступу?

В) Якщо це “платформи самих сервісів”, то яким чином сервіси взаємодіють із запропонованою “єдиною платформою”, оскільки володіють кожен своїм набором засобів аутентифікації і тим більше часто вже не вирішеним завданням авторизацією прав доступу.

Ні на одне питання відповіді у вирішенні імені #Дія не знайшов.

Тобто ще раз – архітектура системи #Дія від початкової точки не містить трасту. Це помилка і сумно.

Далі можна використовувати будь-які досконалі методи і засоби шифрування. Вони будуть насаджені на некоректну архітектуру.

Необхідне уточнення.

Тут можна звернутися до теорії, так до теорії – як облаштовувати – управляти Інтернетом не виходить – Інтернет (Internet governance) в цілому і в окремо взятій країні -, яка говорить, що необхідно будувати архітектуру Інтернет “всього чого завгодно – організації доступу до сервісів і його зберігання, контенту сервісів, організації експлуатації сервісів і т.п. ” на принципах мультістейкхолдерізма. Але цього мало, це умова достатня, але не необхідна. А необхідне – наявність трасту між стейкхолдерами.
Схоже, що “автоматизація хаосу призводить до хаосу автоматизації”. Тому що  траст.

І вельми характерний приклад з практики.

При вході в особистий кабінет ПБ.
Номер телефону, потім пароль, потім [опціонально] приходить код авторизації, що і називається двухфакторною авторизацією. Погоджуся, що це двухфакторная, але чи авторизація?

Або все-таки це аутентифікація? А про авторизацію в особистому кабінеті ПБ навіть мова не йде?

Ви можете сказати:

– Дозвольте, але тут же є траст !?

Так, траст в запропонованій системі ПБ є. Але якісний і цільової складу стейкхолдерів і їх завдань категорично відрізняється від того, що пропонує #Дія, див. Вище пункт (а)

І так …
пмсм, щоб #Дія була дієвою їй необхідно вирішити, як мінімум, два досить невирішених нею завдання:

1) технічне завдання – розібратися і впорядкувати дії з поняттями “аутентифікація” і “авторизація”, попутно не забувши і не “накосячіти”, соррі, з поняттями “верифікація” і “валідація”

2) організаційно-адміністративне завдання – розібратися і вирішити завдання створення трасту.

Це – як мінімум. У фахівців з криптографії є ​​свої зауваження, що підтверджує принцип залучення багатьох стейкхолдерів ?

Юрій Каргаполов

Генеральний директор Консорціуму "Український центр підтримки номерів та адрес"