Manual:Huggle/Contraseña de Bot

From mediawiki.org
This page is a translated version of the page Manual:Huggle/Bot passwords and the translation is 100% complete.

Dado que MediaWiki implementó contraseñas de aplicaciones (llamadas contraseñas de bot) y desaprobó el inicio de sesión API estándar, esta función también se implementó en Huggle y ahora es un método de autenticación recomendado.

Para usar las contraseñas de Bot en Huggle, primero debe generar una. Puede hacerlo visitando Special:BotPasswords.

Se recomienda otorgar a Huggle los siguientes permisos si desea usarlo al máximo:

  • Edición de alto volumen
  • Editar páginas existentes
  • Edite su CSS/JSON/JavaScript de usuario (necesario para almacenar sus opciones)
  • Create, edit, and move pages (required to warn users who don't have talk page yet)
  • Patrol changes to pages
  • Rollback changes to pages
  • Block and unblock users
  • Delete pages, revisions, and log entries
  • Protect and unprotect pages
  • View your watchlist
  • Edit your watchlist

Restringir a Huggle de cualquiera de estos permisos puede resultar en fallas aleatorias de varias funciones.

¿Por qué son más seguros?

Iniciar sesión con una contraseña que tenga acceso completo a su cuenta es probablemente el método menos seguro que debe evitarse en todas partes, no solo en Huggle. La contraseña tal como se escribe podría ser registrada por el virus keylogger o registrada de alguna otra manera. En teoría, alguien también podría compilar alguna versión de malware de Huggle a partir de su código fuente y ofrecer este binario a usuarios ingenuos que lo ejecutarían e ingresarían su contraseña en él.

Si alguien roba la contraseña de tu bot, no puede hacer mucho con ella. La edición solo es posible a través de API y están mucho más restringidas que si estuvieran usando su contraseña real.

Por qué Huggle no solo usa OAuth

Porque OAuth es una tecnología que nunca se diseñó pensando en las aplicaciones de escritorio. OAuth fue diseñado para permitir que las aplicaciones basadas en web inicien sesión en otro servidor web que aloja la base de datos de credenciales (en este caso, a través de la autenticación central de Wikimedia).

Por lo tanto, cada aplicación basada en web tiene su propio secreto que se encuentra en un servidor web ejecutado por el proveedor de la aplicación y utiliza este secreto para verificar la autenticidad de la aplicación. Luego, utilizando devoluciones de llamada web, el servidor de autenticación comunica los resultados de un inicio de sesión al sitio web al que desea iniciar sesión.

Ahora, Huggle no es un servidor web, es una aplicación que se ejecuta en su sistema, por lo que no hay forma de almacenar de forma segura un secreto utilizado para validar su autenticidad, y no hay una manera fácil de manejar las devoluciones de llamada de un servidor OAuth y el proceso. es demasiado complejo para algo que podría hacerse de forma mucho más sencilla. Las funciones de seguridad de OAuth no tienen ningún beneficio para una aplicación que se ejecuta directamente en su PC y que está totalmente bajo su control. Por lo tanto, OAuth es una exageración enorme que solo agrega complejidad y no seguridad, a diferencia de las "contraseñas de bot" (contraseñas de aplicaciones reales).

Véase también