Manual:Huggle/Bot passwords/es

Dado que MediaWiki implementó contraseñas de aplicaciones (llamadas contraseñas de bot) y desaprobó el inicio de sesión API estándar, esta función también se implementó en Huggle y ahora es un método de autenticación recomendado.

Para usar las contraseñas de Bot en Huggle, primero debe generar una. Puede hacerlo visitando Special:BotPasswords.

Se recomienda otorgar a Huggle los siguientes permisos si desea usarlo al máximo:


 * Edición de alto volumen
 * Editar páginas existentes
 * Edite su CSS/JSON/JavaScript de usuario (necesario para almacenar sus opciones)
 * Create, edit, and move pages (required to warn users who don't have talk page yet)
 * Patrol changes to pages
 * Rollback changes to pages
 * Block and unblock users
 * Delete pages, revisions, and log entries
 * Protect and unprotect pages
 * View your watchlist
 * Edit your watchlist

Restringir a Huggle de cualquiera de estos permisos puede resultar en fallas aleatorias de varias funciones.

¿Por qué son más seguros?
Iniciar sesión con una contraseña que tenga acceso completo a su cuenta es probablemente el método menos seguro que debe evitarse en todas partes, no solo en Huggle. La contraseña tal como se escribe podría ser registrada por el virus keylogger o registrada de alguna otra manera. En teoría, alguien también podría compilar alguna versión de malware de Huggle a partir de su código fuente y ofrecer este binario a usuarios ingenuos que lo ejecutarían e ingresarían su contraseña en él.

Si alguien roba la contraseña de tu bot, no puede hacer mucho con ella. La edición solo es posible a través de API y están mucho más restringidas que si estuvieran usando su contraseña real.

Por qué Huggle no solo usa OAuth
Porque OAuth es una tecnología que nunca se diseñó pensando en las aplicaciones de escritorio. OAuth fue diseñado para permitir que las aplicaciones basadas en web inicien sesión en otro servidor web que aloja la base de datos de credenciales (en este caso, a través de la autenticación central de Wikimedia).

Por lo tanto, cada aplicación basada en web tiene su propio secreto que se encuentra en un servidor web ejecutado por el proveedor de la aplicación y utiliza este secreto para verificar la autenticidad de la aplicación. Luego, utilizando devoluciones de llamada web, el servidor de autenticación comunica los resultados de un inicio de sesión al sitio web al que desea iniciar sesión.

Ahora, Huggle no es un servidor web, es una aplicación que se ejecuta en su sistema, por lo que no hay forma de almacenar de forma segura un secreto utilizado para validar su autenticidad, y no hay una manera fácil de manejar las devoluciones de llamada de un servidor OAuth y el proceso. es demasiado complejo para algo que podría hacerse de forma mucho más sencilla. The security features of OAuth don't have any benefit for an application that is running directly on your PC and that is fully under your control. Therefore OAuth is a huge overkill that only adds complexity and no security, unlike "bot passwords" (actual Application Passwords).