Manual:Huggle/应用密码
自从MediaWiki实现了应用密码(即bot密码)并取消了标准API登录后,这一功能也被实施到Huggle中,现在是一种推荐的认证方法。
| This page in a nutshell: 机器人密码使通过Huggle访问你的账户更加安全,因为你永远不会暴露你的真实密码,你可以定义它的访问级别。 |
为了在Huggle中使用bot密码,您首先需要生成一个。 你可以通过访问Special:BotPasswords完成这一点。
如果您想最充分地使用 Huggle,建议给予它以下权限。
| grant-highvolume | 大量操作(机器人)访问权限 | |
| grant-editpage | 编辑存在的页面 | |
| grant-editmycssjs | 编辑您的用户CSS/JSON/JavaScript | 编辑用户CSS/JSON/JavaScript(用于存储设定选项)。 |
| grant-createeditmovepage | 创建、编辑和移动页面 | required to warn users who don't have talk page yet |
| grant-patrol | 巡查对页面的更改 | |
| grant-rollback | 回退对页面的更改 | |
| grant-blockusers | 封禁与解封用户 | |
| grant-delete | 删除页面、修订和日志记录 | |
| grant-protect | 保护页面和取消页面保护 | |
| grant-viewmywatchlist | 查看您的监视列表 | |
| grant-editmywatchlist | 编辑您的监视列表 |
限制Huggle的任何这些权限可能会导致各种功能的随机失败。
为什么这样更安全?
通过一个可以完全访问你的账户的密码登录可能是最不安全的方法,在任何地方都应该避免,不仅仅是在Huggle。 输入的密码可能被键盘记录器病毒记录或以其他方式记录。 理论上,有人也可以从Huggle的源代码中编译一些恶意软件版本,并将这个二进制文件提供给天真的用户,这些用户会运行它并将他们的密码输入其中。
如果有人偷了你的机器人密码,他们就不能用它做这么多事。 只有通过API才能进行编辑,而且他们受到的限制比使用你的真实密码要多得多。
为什么Huggle不直接使用OAuth
因为OAuth这种技术在设计时从未考虑到桌面应用。 OAuth的设计是为了让基于网络的应用程序通过另一个承载证书数据库的网络服务器(在这种情况下,通过维基媒体的中央认证)进行登录。
因此,每个基于网络的应用程序都有自己的秘密,该秘密位于由应用程序提供者运行的网络服务器上,并使用该秘密来验证应用程序的真实性。 然后,使用网络回调,认证服务器将登录的结果传回给你想登录的网站。
现在,Huggle不是一个网络服务器,它是一个在你的系统上运行的应用程序,所以没有办法安全地存储用于验证其真实性的秘密,也没有简单的方法来处理来自OAuth服务器的回调,而且这个过程对于可以更简单地完成的事情来说过于复杂。 OAuth的安全功能对于直接在你的电脑上运行、完全由你控制的应用程序没有任何好处。 因此,OAuth是一个巨大的矫枉过正,只增加了复杂性而没有安全性,与 "机器人密码"(实际的应用密码)不同。
参见
- Manual:Bot passwords
- w:Wikipedia:Using AWB with 2FA - 使用BotPasswords的简单指南