Kesenjangan "Otorisasi"
Membaca ulang bagian 1.2.1. Kegagalan "Otorisasi vs. Autentikasi". Kebanyakan orang berpikir jika Anda masuk (AuthN), Anda aman. Kite berpendapat Anda perlu Otorisasi yang berkelanjutan (AuthZ).
Kait tenang: Seorang agen yang sudah masuk adalah agen yang berbahaya. Kecuali jika dibatasi.
Wawasan yang dapat ditindaklanjuti: "Kontrol waktu nyata." Apakah sistem memeriksa apakah agen harus melakukan tindakan spesifik ini sekarang? Kontrak pintar Kite melakukan pemeriksaan ini pada setiap transaksi.
Waktu mini-cerita:
Bot trading lama saya telah terautentikasi. Ia masuk dengan baik. Lalu ia memutuskan untuk membeli koin likuiditas rendah karena sebuah bug. Ia "diotorisasi" untuk berdagang, tetapi tidak untuk menguras akun saya. Pembatasan Kite seharusnya telah memblokir volume perdagangan, bahkan jika login valid.
Model konseptual:
Ini seperti kartu kredit yang secara otomatis menolak jika Anda mencoba membeli sesuatu pada jam 3 pagi di negara yang belum pernah Anda kunjungi. Keamanan yang sadar konteks.
Refleksi pagi:
Agen cerdas membutuhkan ikatan yang lebih cerdas.
