Manual:Huggle/Bot passwords/ja

From Linux Web Expert

MediaWiki がアプリケーション パスワード (ボット パスワードとも呼ばれる) を実装し、標準の API ログインを非推奨にしたため、この機能はハグルにも実装され、現在は推奨される認証方法となっています。

ハグルでボット パスワードを使用するには、まず 1 つ生成する必要があります。 Special:BotPasswords で生成できます。

ハグルを最大限に活用するために、以下のアクセス権限を付与することを推奨します:

grant-highvolume High-volume editing
grant-editpage Edit existing pages
grant-editmycssjs Edit your user CSS/JSON/JavaScript オプションを保管するために必要
grant-createeditmovepage Create, edit, and move pages まだトークページがない利用者に警告するために必要
grant-patrol Patrol changes to pages
grant-rollback Rollback changes to pages
grant-blockusers Block and unblock users
grant-delete Delete pages, revisions, and log entries
grant-protect Protect and unprotect pages
grant-viewmywatchlist View your watchlist
grant-editmywatchlist Edit your watchlist

ハグルのこれらのアクセス権限のいずれかを制限すると、さまざまな機能がランダムに正常動作しなくなる可能性があります。

ボット パスワードがよりセキュアである理由

アカウントに完全なアクセス権を持つパスワードでログインすることは、おそらく最も安全ではない方法であり、ハグルに限らずあらゆる場所で、できるだけ避けるべきです。 入力されたパスワードは、キーロガーのウイルスやその他の方法で記録されてしまう可能性があります。 理論的には、誰かがハグルのソースコードを基にしてマルウェア バージョンをコンパイルし、これをバイナリとして無知な利用者に提供し、それを実行してパスワードを入力させられます。

ボット パスワードが盗まれても、それを使ってあまり多くのことはできません。 編集は API を介してのみ可能であり、実際のパスワードを使用するよりもはるかに制限されています。

ハグルがOAuthを使用しない理由

OAuth は元々デスクトップ アプリケーションを考慮して設計されたものではないからです。 OAuth は、ウェブ ベースのアプリケーションが、認証データベース (今回の場合、ウィキメディアの中央管理認証) をホスティングしている別のウェブ サーバーを介してログインできるように設計されました。

それぞれのウェブ ベースのアプリケーションは、その提供元が運営するウェブ サーバー上にある独自の秘密鍵を持ち、この秘密鍵を使用してアプリケーションの正当性を検証します。 その後、ウェブ コールバックを使用して、認証サーバーはログインの結果を、ログインしたいウェブサイトに伝えます。

現在、ハグルはウェブ サーバーではなく、システム上で実行されるアプリケーションです。そのため、その信頼性を検証するために使用される秘密を安全に保存する方法がなく、OAuth サーバーからのコールバックを簡単に処理する方法がありません。この過程は、より簡単に行えるはずのものに対して過度に複雑です。 OAuth のセキュリティ機能は、直接あなたの PC で実行され完全にあなたの管理下にあるアプリケーションには、何の利益もありません。 そのため、OAuth は複雑さを増すだけでセキュリティを提供せず無駄に大げさあり、「ボット パスワード」(実際はアプリケーション パスワード) とは異なります。

関連項目