Siedzę z czymś niewygodnym na temat architektury Sign przez kilka dni i nie mogę się tego pozbyć.
Hak uruchamia się raz. To wszystko. Wprowadzane dane, logika haka ocenia jakiekolwiek warunki, które autor schematu podłączył, i dzieje się jedna z dwóch rzeczy.
Wprowadzenie staje się zaświadczeniem lub znika. Nie ma stanu pośredniego. Brak widocznego zapisu próby. Brak śladu tego, co było blisko, ale się nie udało. Protokół po prostu przechodzi dalej, wyglądając nieskazitelnie.
I rozumiem, dlaczego to tak zaprojektowano. Czyste powierzchnie dowodowe są całym celem. Nie chcesz, aby odrzucone roszczenia w połowie formy zagracały SignScan obok ważnych zaświadczeń. Ma sens technicznie.
Co mnie niepokoi, to co ten projekt robi z ludźmi, którzy później czytają wyniki.
Kiedy patrzę na rozwiązane poświadczenie w Sign, widzę to, co przetrwało. Nie widzę trzech wejść, które uruchomiły się przed nim i nie powiodły.
Nie widzę, czy haczyk, który przeszedł to jedno, był wyjątkowo pobłażliwy tego dnia, czy też zmiana konfiguracji przesunęła próg dopuszczalności między wczorajszą partią a dzisiejszą. Poświadczenie wygląda dokładnie tak samo, niezależnie od całego tego kontekstu.
Haczyk jest napisany przez autora schematu, a nie przez Sign. Więc kiedy coś zostaje odrzucone i znika, protokół jest naprawdę czysty.
Sign nie popełnił błędu. Haczyk autora schematu podjął decyzję, a ta decyzja miała miejsce w miejscu, którego warstwa poświadczeń nigdy nie dotyka.
Co oznacza, że jeśli jestem na niższym poziomie i próbuję zrozumieć, czy ta akceptacja oznacza to, co myślę, że oznacza, czytam wyniki bramki, której nie widzę, napisane przez stronę, której mogę nie rozumieć w pełni, która uruchomiła się raz i nie pozostawiła widocznego śladu tego, co uznała.
Potem jest sytuacja z extraData. To jest część, do której ciągle wracam. Pola, które niosą kontekst polityki, era programu, do której należy to poświadczenie, konkretne warunki, które uczyniły to roszczenie ważnym w tej szczególnej wersji schematu, te rzeczy technicznie podróżują z poświadczeniem. Są tam.
Ale większość systemów downstream, TokenTable, integracje z partnerami, filtry kwalifikowalności, sprawdzają zgodność schematu i ważność poświadczeń, a potem przechodzą. Nikt nie otwiera extraData. To zbyt dużo pracy dla binarnej bramki tak/nie.
Więc poświadczenie podróżuje. Jest przenośne. Przechodzi przez łańcuchy, jest konsumowane przez różne systemy, pojawia się w dystrybucjach sześć miesięcy później.
I niesie pełen kontekst tego, kiedy i dlaczego było ważne, w polu, którego systemy działające na nim nigdy nie czytają.
Nie sądzę, że to jest porażka Sign. Myślę, że to uczciwy koszt uczynienia dowodów przenośnymi na dużą skalę. Nie możesz sprawić, aby każdy system downstream odbudowywał pełny kontekst decyzji za każdym razem, gdy dotyka rekordu. To by wszystko złamało.
Ale to oznacza, że warstwa poświadczeń wykonuje mniej pracy, niż się wydaje. Prawdziwa decyzja miała miejsce przy haczyku. Haczyk uruchomił się raz niewidocznie.
Rekord, który wyszedł z drugiej strony, wygląda autorytatywnie, ustalone i kompletnie.
I podróżuje w ten sposób na zawsze, niezależnie od tego, czy warunki, które uczyniły go ważnym, nadal obowiązują, czy nie. @SignOfficial $SIGN
