Что это уже решает
- зоны и ownership больше не размазаны по всем маршрутам;
- nginx edge действительно режет чувствительные поверхности;
- есть отдельная restricted page вместо пустого отказа;
- public AIO space вынесен отдельно от private zones.
Честная граница доступа
Web contour уже не живёт в режиме “всё открыто всем”. Public-зоны остаются public, рабочая оболочка остаётся public shell, а чувствительные поверхности теперь режутся network boundary до будущего subject-level grants слоя.
Текущая модель
| Route | Access mode | Кто видит | Что это значит |
|---|---|---|---|
| / | public | все | Публичная поверхность проекта. |
| /app/ | public shell | все | Видимая оболочка без privileged runtime access. |
| /aio/ | public shell | все | Installable AIO-space для непрерывного входа без web-backend bypass. |
| /admin/ | private_network | локальная сеть, VPN, сервер | Административная зона больше не публикуется всем подряд. |
| /architect/ | private_network | локальная сеть, VPN, сервер | Архитектурная поверхность тоже вынесена из полностью открытого web. |
Что это ещё не решает
- это не subject-level runtime access;
- это не grants truth на каждую capability;
- это не полноценный web-backend вокруг ядра;
- это первый bounded слой перед `a_authority` access model.