Если придираться, то HTTPS использует не SSL, а TLS протокол. Но вы, конечно, правы URL шифруется полностью, а IP:Port мы видим в открытом виде, т.к. они используются на другом уровне сетевого стека.
Спасибо за уточнение, поправил, действительно, при использовании HTTPS шифруется весь HTTP запрос, включая URL и параметры, а не шифруется только IP адрес и порт, т.к. это нужно для маршрутизации.
Я понимаю, что с импортозамещением не все однозначно, но в IT сфере вижу, что все куда-то движется: у нас уже есть отечественный процессор Эльбрус, ROSA Linux, блокчейн Мастерчейн, Национальная облачная платформа, Единая биометрическая
система и т.д… На первый взгляд кажется, что сочетание облачной платформы с биометрической могут вполне стать основой для “Национальной платформы для аутентификации” ну и + ГосУслуги для идентификации…
Если бы я писал техзадание для программистов, то, конечно, использовал бы точные термины. Но аудитория Хабра гораздо шире.
После моих предыдущих статей ко мне подходили коллеги и говорили, что наконец поняли как работает блокчейн или облака. Поэтому я упрощаю терминологию так, чтобы и программистам было интересно и “не программистам” понятно)
И ради интереса можно сделать опрос среди программистов о том, кто знает разницу между идентификацией, аутентификацией и авторизацией, у меня есть ощущение, что таких будет явно не большинство)
Вариантов то немного, каждый выбирает сам:
— Продолжаем мучатся с хранением паролей
— Используем широко известные зарубежные сервера для идентификации / аутентификации / авторизации с понятными рисками
— Используем мало распространенные российские системы с непонятными рисками
— Сами разрабатываем и обслуживаем сервера со всеми возможными рисками )
Согласен, но для обычного пользователя привычен термин идентификация, который обьединяет все 3 понятия. Пытаюсь соблюсти баланс между читаемостью статьи и технической точностью… )
Согласен, что с терминами авторизация, аутентификация и идентификация все время путаница. В статье я использую термин “идентификация” как объединяющий для авторизации и аутентификации. Но где, действительно, важна разница там использую конкретные термины.
Название статьи было бы терминологически правильным, но громоздким: “Современные стандарты авторизации: OAuth 2.0 и аутентификации: OpenID Connect, WebAuthn”
Отличная статья, как раз изучаю тему, только вспоткнулся тут:
«Значительный рывок вперёд в популярности WebAuthn может произойти, когда инженеры компании Google закончат разработку и тестирование возможности использования смартфонов на OC Android и iOS в качестве внешних физических электронных ключей для WebAuthn и откроют эту возможность для всех интернет-сервисов»
Что имеется ввиду под внешними ключами? Я же уже сейчас могу использовать смартфон как Authentificator по отпечатку пальца?
Выносить вычисления в облако тут логика понятна: устройства должны потреблять как можно меньше электричества, т.к. могут быть вообще энергонезависимы. А насчет стандартов связи для IoT, насколько мне известно, ими являются NB-IoT, работающий поверх GSM сетей и LoRaWAN, работающий в не лицензируемых частотах.
Совершенно согласен, что облако и интернет вносят риски в схему. Впрочем как и электричество, но если с электричеством научились бороться с помощью аккумуляторов, то интернета впрок не запастись) Поэтому тут надо считать риски и, как вы, реализовывать офлайновые режимы работы.
Так я на ноуте сначала и сделал — «поставить любой MQTT клиент, да с него слать ваши данные в облако», но хотелось, чтобы конструкция была похожа на настоящий IoT )
Интернет говорит о наличии open source вариантов IoT платформ, например тот же OneM2M предоставляет список проектов, совместимых с их стандартом, но я, честно говоря, ничего из этого не пробовал, т.к. нахожусь только в начале пути)
Согласен, что стоимость сервисов Амазон имеет значение и нужно внимательно считать затраты при принятии решения об использовании AWS для промышленного решения. Стоимость использования Амазон IoT платформы рассчитывается по числу запросов, которое в моем случае было в рамках бесплатного лимита.
И про стартер кит согласен, что он лучше и я честно искал что-нибудь приемлемое, но разнообразие устройств и комплектаций давало мне хороший шанс зря потратить 100-200 долларов, поэтому и остановился на самом простом варианте)
JSON Web Token Cheat Sheet for Java
система и т.д… На первый взгляд кажется, что сочетание облачной платформы с биометрической могут вполне стать основой для “Национальной платформы для аутентификации” ну и + ГосУслуги для идентификации…
После моих предыдущих статей ко мне подходили коллеги и говорили, что наконец поняли как работает блокчейн или облака. Поэтому я упрощаю терминологию так, чтобы и программистам было интересно и “не программистам” понятно)
И ради интереса можно сделать опрос среди программистов о том, кто знает разницу между идентификацией, аутентификацией и авторизацией, у меня есть ощущение, что таких будет явно не большинство)
— Продолжаем мучатся с хранением паролей
— Используем широко известные зарубежные сервера для идентификации / аутентификации / авторизации с понятными рисками
— Используем мало распространенные российские системы с непонятными рисками
— Сами разрабатываем и обслуживаем сервера со всеми возможными рисками )
Название статьи было бы терминологически правильным, но громоздким: “Современные стандарты авторизации: OAuth 2.0 и аутентификации: OpenID Connect, WebAuthn”
«Значительный рывок вперёд в популярности WebAuthn может произойти, когда инженеры компании Google закончат разработку и тестирование возможности использования смартфонов на OC Android и iOS в качестве внешних физических электронных ключей для WebAuthn и откроют эту возможность для всех интернет-сервисов»
Что имеется ввиду под внешними ключами? Я же уже сейчас могу использовать смартфон как Authentificator по отпечатку пальца?
И про стартер кит согласен, что он лучше и я честно искал что-нибудь приемлемое, но разнообразие устройств и комплектаций давало мне хороший шанс зря потратить 100-200 долларов, поэтому и остановился на самом простом варианте)