Handbuch:Huggle/Bot-Passwörter

This page is a translated version of the page Manual:Huggle/Bot passwords and the translation is 64% complete.
Outdated translations are marked like this.

Da MediaWiki Anwendungspasswörter (genannt Bot-Passwörter) implementiert und die Standard-API-Anmeldung eingestellt hat, wurde diese Funktion auch in Huggle implementiert und ist jetzt eine empfohlene Authentifizierungsmethode.

Um Bot-Passwörter in Huggle zu verwenden, musst Du zunächst eines generieren. Du kannst dies tun, indem Du Special:BotPasswords besuchst.

Es wird empfohlen, Huggle die folgenden Berechtigungen zu erteilen, wenn Du es in vollem Umfang nutzen möchtest:

grant-highvolume (Bot-)Massenbearbeitungen
grant-editpage Vorhandene Seiten bearbeiten
grant-editmycssjs Dein Benutzer-CSS/JSON/JavaScript bearbeiten Bearbeite Dein Benutzer-CSS/JSON/JavaScript (erforderlich, um Deine Optionen zu speichern)
grant-createeditmovepage Seiten erstellen, bearbeiten und verschieben required to warn users who don't have talk page yet
grant-patrol Änderungen an Seiten kontrollieren
grant-rollback Änderungen an Seiten zurücksetzen
grant-blockusers Benutzer sperren und freigeben
grant-delete Seiten, Versionen und Logbucheinträge löschen
grant-protect Seiten schützen und freigeben
grant-viewmywatchlist Deine Beobachtungsliste ansehen
grant-editmywatchlist Deine Beobachtungsliste bearbeiten

Das Einschränken einer dieser Berechtigungen für Huggle kann zu zufälligen Ausfällen verschiedener Funktionen führen.

Warum bist Du sicherer?

Die Anmeldung über ein Passwort mit vollem Zugriff auf Dein Konto ist wahrscheinlich die am wenigsten sichere Methode, die überall vermieden werden sollte, nicht nur bei Huggle. Das eingegebene Passwort könnte vom Keylogger-Virus protokolliert oder auf andere Weise aufgezeichnet werden. Theoretisch könnte jemand auch eine Malware-Version von Huggle aus seinem Quellcode kompilieren und diese Binärdatei naiven Benutzern anbieten, die sie ausführen und ihr Passwort eingeben.

Wenn jemand Dein Bot-Passwort stiehlt, kann er damit nicht viel anfangen. Die Bearbeitung ist nur über die API möglich und du bist weitaus eingeschränkter, als wenn du Dein echtes Passwort verwenden würdest.

Wieso Huggle nicht nur OAuth verwendet

Because OAuth is a technology that was never designed with desktop applications in mind. OAuth was designed to allow web-based applications to login over another web server that hosts the credential database (in this case, over Wikimedia's central auth).

Each web based application therefore has its own secret that is located on a web server run by the provider of the application and uses this secret to verify the authenticity of the application. Then, using web callbacks the authentication server communicates the results of a login back to the website you want to login to.

Now, Huggle is not a web server, it's an application running on your system, so there is no way to securely store a secret used to validate its authenticity, and there is no easy way to handle callbacks from an OAuth server, and the process is overly complex for something that could be done much more simply. The security features of OAuth don't have any benefit for an application that is running directly on your PC and that is fully under your control. Therefore OAuth is a huge overkill that only adds complexity and no security, unlike "bot passwords" (actual Application Passwords).

Siehe auch