Handbuch:Huggle/Bot-Passwörter
Da MediaWiki Anwendungspasswörter (genannt Bot-Passwörter) implementiert und die Standard-API-Anmeldung eingestellt hat, wurde diese Funktion auch in Huggle implementiert und ist jetzt eine empfohlene Authentifizierungsmethode.
 | Diese Seite auf einen Blick: Bot-Passwörter machen den Zugriff auf Deinem Konto über Huggle sicherer, da Du Dein echtes Passwort nie preisgeben und die Zugriffsebene festlegen kannst, die es haben wird. |
Um Bot-Passwörter in Huggle zu verwenden, musst Du zunächst eines generieren. Du kannst dies tun, indem Du Special:BotPasswords besuchst.
Es wird empfohlen, Huggle die folgenden Berechtigungen zu erteilen, wenn Du es in vollem Umfang nutzen möchtest:
| grant-highvolume | (Bot-)Massenbearbeitungen | |
| grant-editpage | Vorhandene Seiten bearbeiten | |
| grant-editmycssjs | Dein Benutzer-CSS/JSON/JavaScript bearbeiten | Bearbeite Dein Benutzer-CSS/JSON/JavaScript (erforderlich, um Deine Optionen zu speichern) |
| grant-createeditmovepage | Seiten erstellen, bearbeiten und verschieben | required to warn users who don't have talk page yet |
| grant-patrol | Änderungen an Seiten kontrollieren | |
| grant-rollback | Änderungen an Seiten zurücksetzen | |
| grant-blockusers | Benutzer sperren und freigeben | |
| grant-delete | Seiten, Versionen und Logbucheinträge löschen | |
| grant-protect | Seiten schützen und freigeben | |
| grant-viewmywatchlist | Deine Beobachtungsliste ansehen | |
| grant-editmywatchlist | Deine Beobachtungsliste bearbeiten |
Das Einschränken einer dieser Berechtigungen für Huggle kann zu zufälligen Ausfällen verschiedener Funktionen führen.
Warum bist Du sicherer?
Die Anmeldung über ein Passwort mit vollem Zugriff auf Dein Konto ist wahrscheinlich die am wenigsten sichere Methode, die überall vermieden werden sollte, nicht nur bei Huggle. Das eingegebene Passwort könnte vom Keylogger-Virus protokolliert oder auf andere Weise aufgezeichnet werden. Theoretisch könnte jemand auch eine Malware-Version von Huggle aus seinem Quellcode kompilieren und diese Binärdatei naiven Benutzern anbieten, die sie ausführen und ihr Passwort eingeben.
Wenn jemand Dein Bot-Passwort stiehlt, kann er damit nicht viel anfangen. Die Bearbeitung ist nur über die API möglich und du bist weitaus eingeschränkter, als wenn du Dein echtes Passwort verwenden würdest.
Wieso Huggle nicht nur OAuth verwendet
Because OAuth is a technology that was never designed with desktop applications in mind. OAuth was designed to allow web-based applications to login over another web server that hosts the credential database (in this case, over Wikimedia's central auth).
Each web based application therefore has its own secret that is located on a web server run by the provider of the application and uses this secret to verify the authenticity of the application. Then, using web callbacks the authentication server communicates the results of a login back to the website you want to login to.
Now, Huggle is not a web server, it's an application running on your system, so there is no way to securely store a secret used to validate its authenticity, and there is no easy way to handle callbacks from an OAuth server, and the process is overly complex for something that could be done much more simply. The security features of OAuth don't have any benefit for an application that is running directly on your PC and that is fully under your control. Therefore OAuth is a huge overkill that only adds complexity and no security, unlike "bot passwords" (actual Application Passwords).
Siehe auch
- Handbuch:Bot-Passwörter
- w:Wikipedia:Using AWB with 2FA - Eine einfache Anleitung zur Verwendung von BotPasswords