Jump to content

Podręcznik:Huggle/Hasła botów

From mediawiki.org
This page is a translated version of the page Manual:Huggle/Bot passwords and the translation is 100% complete.

Ponieważ MediaWiki wprowadziło hasła aplikacji (nazywane hasłami botów) i zrezygnowało z standardowego logowania do API, ta funkcja została również zaimplementowana w Huggle i jest teraz zalecaną metodą uwierzytelniania.

Aby używać haseł botów w Huggle, najpierw musisz wygenerować jedno. Możesz to zrobić, odwiedzając Special:BotPasswords.

Zaleca się przyznanie Huggle następujących uprawnień, jeśli chcesz korzystać z niego w pełni:

grant-highvolume Masowy dostęp (bot)
grant-editpage Edycja istniejących stron
grant-editmycssjs Edycja swoich plików CSS/JSON/JavaScript wymagane do przechowywania Twoich opcji
grant-createeditmovepage Tworzenie, edycja i przenoszenie stron wymagane do ostrzegania użytkowników, którzy nie mają jeszcze własnej strony dyskusji
grant-patrol Zaznaczanie patrolowania zmian na stronach
grant-rollback Wycofywanie zmian na stronach
grant-blockusers Blokowanie i odblokowywanie użytkowników
grant-delete Usuwanie stron, wersji stron i wpisów rejestru
grant-protect Zabezpieczanie i odbezpieczanie stron
grant-viewmywatchlist Zobacz swoją listę obserwowanych
grant-editmywatchlist Edycja listy obserwowanych

Ograniczenie Huggle w zakresie któregokolwiek z tych uprawnień może prowadzić do losowych awarii różnych funkcji.

Dlaczego są bardziej bezpieczne?

Logowanie się za pomocą hasła, które ma pełny dostęp do Twojego konta, jest prawdopodobnie najmniej bezpieczną metodą i powinno być unikane wszędzie, nie tylko w Huggle. Hasło, gdy jest wpisywane, może być rejestrowane przez wirusa typu keylogger lub w inny sposób. Ktoś mógłby również teoretycznie skompilować złośliwą wersję Huggle z jego kodu źródłowego i zaoferować ten plik binarny niedoinformowanym użytkownikom, którzy uruchomiliby go i wprowadzili swoje hasło.

Jeśli ktoś ukradnie twoje hasło bota, nie będzie mógł zrobić z nim zbyt wiele. Edycja jest możliwa tylko za pośrednictwem API, a uprawnienia są znacznie bardziej ograniczone niż w przypadku logowania za pomocą twojego prawdziwego hasła.

Dlaczego Huggle nie używa OAuth

Ponieważ OAuth to technologia, która nigdy nie była projektowana z myślą o aplikacjach desktopowych. OAuth został zaprojektowany, aby umożliwić aplikacjom internetowym logowanie się za pośrednictwem innego serwera internetowego, który hostuje bazę danych poświadczeń (w tym przypadku za pośrednictwem konta uniwersalnego Wikimedia).

Każda aplikacja internetowa ma zatem swój własny klucz, który znajduje się na serwerze internetowym prowadzonym przez dostawcę aplikacji i używa tego klucza do weryfikacji autentyczności aplikacji. Następnie, korzystając z wywołań zwrotnych (web callbacks), serwer autoryzacyjny przekazuje wyniki logowania z powrotem do witryny, do której chcesz się zalogować.

Teraz, Huggle nie jest serwerem internetowym, to aplikacja działająca na Twoim systemie, więc nie ma sposobu na bezpieczne przechowywanie klucza używanego do weryfikacji jej autentyczności, a także nie ma łatwego sposobu na obsługę wywołań zwrotnych z serwera OAuth. Proces ten jest zbyt skomplikowany w porównaniu do czegoś, co można by zrobić znacznie prościej. Funkcje zabezpieczeń OAuth nie przynoszą żadnych korzyści dla aplikacji, która działa bezpośrednio na Twoim komputerze i jest w pełni pod Twoją kontrolą. Dlatego OAuth jest ogromnym nadmiarem, który tylko wprowadza dodatkową złożoność i nie zapewnia żadnego bezpieczeństwa, w przeciwieństwie do „haseł botów” (rzeczywistych haseł aplikacji).

Zobacz też