Podręcznik:Huggle/Hasła botów
Ponieważ MediaWiki wprowadziło hasła aplikacji (nazywane hasłami botów) i zrezygnowało z standardowego logowania do API, ta funkcja została również zaimplementowana w Huggle i jest teraz zalecaną metodą uwierzytelniania.
![]() | Ta strona w pigułce: Hasła botów zwiększają bezpieczeństwo dostępu do Twojego konta przez Huggle, ponieważ nigdy nie ujawniasz swojego prawdziwego hasła, a także możesz określić poziom dostępu, jaki będzie miało. |
Aby używać haseł botów w Huggle, najpierw musisz wygenerować jedno. Możesz to zrobić, odwiedzając Special:BotPasswords.
Zaleca się przyznanie Huggle następujących uprawnień, jeśli chcesz korzystać z niego w pełni:
grant-highvolume | Masowy dostęp (bot) | |
grant-editpage | Edycja istniejących stron | |
grant-editmycssjs | Edycja swoich plików CSS/JSON/JavaScript | wymagane do przechowywania Twoich opcji |
grant-createeditmovepage | Tworzenie, edycja i przenoszenie stron | wymagane do ostrzegania użytkowników, którzy nie mają jeszcze własnej strony dyskusji |
grant-patrol | Zaznaczanie patrolowania zmian na stronach | |
grant-rollback | Wycofywanie zmian na stronach | |
grant-blockusers | Blokowanie i odblokowywanie użytkowników | |
grant-delete | Usuwanie stron, wersji stron i wpisów rejestru | |
grant-protect | Zabezpieczanie i odbezpieczanie stron | |
grant-viewmywatchlist | Zobacz swoją listę obserwowanych | |
grant-editmywatchlist | Edycja listy obserwowanych |
Ograniczenie Huggle w zakresie któregokolwiek z tych uprawnień może prowadzić do losowych awarii różnych funkcji.
Dlaczego są bardziej bezpieczne?
Logowanie się za pomocą hasła, które ma pełny dostęp do Twojego konta, jest prawdopodobnie najmniej bezpieczną metodą i powinno być unikane wszędzie, nie tylko w Huggle. Hasło, gdy jest wpisywane, może być rejestrowane przez wirusa typu keylogger lub w inny sposób. Ktoś mógłby również teoretycznie skompilować złośliwą wersję Huggle z jego kodu źródłowego i zaoferować ten plik binarny niedoinformowanym użytkownikom, którzy uruchomiliby go i wprowadzili swoje hasło.
Jeśli ktoś ukradnie twoje hasło bota, nie będzie mógł zrobić z nim zbyt wiele. Edycja jest możliwa tylko za pośrednictwem API, a uprawnienia są znacznie bardziej ograniczone niż w przypadku logowania za pomocą twojego prawdziwego hasła.
Dlaczego Huggle nie używa OAuth
Ponieważ OAuth to technologia, która nigdy nie była projektowana z myślą o aplikacjach desktopowych. OAuth został zaprojektowany, aby umożliwić aplikacjom internetowym logowanie się za pośrednictwem innego serwera internetowego, który hostuje bazę danych poświadczeń (w tym przypadku za pośrednictwem konta uniwersalnego Wikimedia).
Każda aplikacja internetowa ma zatem swój własny klucz, który znajduje się na serwerze internetowym prowadzonym przez dostawcę aplikacji i używa tego klucza do weryfikacji autentyczności aplikacji. Następnie, korzystając z wywołań zwrotnych (web callbacks), serwer autoryzacyjny przekazuje wyniki logowania z powrotem do witryny, do której chcesz się zalogować.
Teraz, Huggle nie jest serwerem internetowym, to aplikacja działająca na Twoim systemie, więc nie ma sposobu na bezpieczne przechowywanie klucza używanego do weryfikacji jej autentyczności, a także nie ma łatwego sposobu na obsługę wywołań zwrotnych z serwera OAuth. Proces ten jest zbyt skomplikowany w porównaniu do czegoś, co można by zrobić znacznie prościej. Funkcje zabezpieczeń OAuth nie przynoszą żadnych korzyści dla aplikacji, która działa bezpośrednio na Twoim komputerze i jest w pełni pod Twoją kontrolą. Dlatego OAuth jest ogromnym nadmiarem, który tylko wprowadza dodatkową złożoność i nie zapewnia żadnego bezpieczeństwa, w przeciwieństwie do „haseł botów” (rzeczywistych haseł aplikacji).
Zobacz też
- Manual:Bot passwords
- w:Wikipedia:Using AWB with 2FA - Prosty przewodnik o używaniu haseł botów