Security issues with authorization extensions/cs

MediaWiki není navržena jako systém správy obsahu (CMS) nebo k ochraně citlivých dat. Naopak byl navržen tak, aby byl co nejotevřenější. Nepodporuje tedy ze své podstaty plně funkční, vzduchotěsnou ochranu soukromého obsahu. Ale s masivním nárůstem používání MediaWiki v podnikových intranetech a mnoha novými funkcemi podobnými CMS se objevují požadavky na přísnější zabezpečení.

Abychom pomohli autorům bezpečnostních rozšíření, tento seznam bezpečnostních chyb nalezených v této oblasti je udržován, aby mohli svá rozšíření otestovat proti každému z nich. Existuje několik rozšíření, která tvrdí, že poskytují selektivní přístup ke čtení/zápisu na stránky v, a v současné době většina z nich vykazuje několik uvedených nedostatků.



Testování bezpečnostních rozšíření
Pokud se chystáte implementovat přístup pro čtení nebo zápis, zkontrolujte rozšíření, zda neobsahuje nedostatky uvedené v tabulce níže, a to tak, že se přihlásíte jako uživatel bez oprávnění ke čtení/zápisu. Spuštění nové relace procházení webu prostřednictvím režimu inkognito umožňuje navigaci na webu jako neprivilegovaný uživatel, když je software testován a konfigurován.



Tabulka běžných omezení bezpečnostních rozšíření
There are probably more "holes" in the read protection system. So, denying read access should be seen as a "nothing to see here, move along," sort of thing rather than a guarantee of secrecy.