Manual:Huggle/Bot passwords/nl

From Linux Web Expert

Sinds MediaWiki applicatiewachtwoorden (botwachtwoorden genoemd) heeft geïmplementeerd en standaard API-login heeft ontraden/afgeschaft, is deze functie ook geïmplementeerd in Huggle en is het nu een aanbevolen authenticatiemethode.

Om Bot- wachtwoorden in Huggle te gebruiken moet u er eerst een genereren. U kunt dit doen door te gaan naar Special:BotPasswords.

Het wordt aanbevolen om Huggle de volgende rechten te geven als u het optimaal wilt gebruiken:

grant-highvolume High-volume editing
grant-editpage Edit existing pages
grant-editmycssjs Edit your user CSS/JSON/JavaScript vereist om uw opties op te slaan
grant-createeditmovepage Create, edit, and move pages nodig om gebruikers te waarschuwen die nog geen overlegpagina hebben
grant-patrol Patrol changes to pages
grant-rollback Rollback changes to pages
grant-blockusers Block and unblock users
grant-delete Delete pages, revisions, and log entries
grant-protect Protect and unprotect pages
grant-viewmywatchlist View your watchlist
grant-editmywatchlist Edit your watchlist

Het niet aan Huggle verlenen van een van deze rechten kan leiden tot onvoorspelbare fouten in verschillende functies.

Waarom zijn ze veiliger?

Een wachtwoord waarmee u volledig toegang hebt is waarschijnlijk de minst veilige methode die overal moet worden vermeden, niet alleen in Huggle. Het wachtwoord zoals het wordt ingetikt kan worden geregistreerd door een keylogger virus of op een andere manier worden opgenomen. Iemand kan theoretisch een malware-versie van Huggle samenstellen uit de broncode en deze binaire aanbieden aan naïeve gebruikers die het zouden uitvoeren en hun wachtwoord erin zouden invoeren.

Als iemand uw bot wachtwoord steelt, kan die er niet veel mee doen. Het bewerken is alleen mogelijk via de API en ze zijn veel meer beperkt dan als ze uw echte wachtwoord zouden gebruiken.

Waarom Huggle niet gewoon OAuth gebruikt

Omdat OAuth een technologie is die nooit is ontworpen met desktop applicaties in gedachten. OAuth is ontworpen om webgebaseerde applicaties te laten inloggen via een andere webserver die de credentiele database host (in dit geval via de centrale auth van Wikimedia).

Elke webgebaseerde toepassing heeft daarom een eigen 'secret' dat zich op een webserver bevindt dat wordt uitgevoerd door de aanbieder van de toepassing en dat geheim gebruikt om de authenticiteit van de toepassing te verifiëren. Vervolgens, met behulp van web-callbacks, brengt de authenticatie-server de resultaten van een login terug naar de website waar u zich wilt aanmelden.

Huggle is geen webserver, het is een applicatie die op uw systeem wordt uitgevoerd, dus er is geen manier om een 'secret' veilig te bewaren dat wordt gebruikt om de authenticiteit ervan te valideren, en er is geen gemakkelijke manier om callbacks van een OAuth-server te verwerken, en het proces is te complex voor iets dat veel eenvoudiger zou kunnen worden gedaan. De beveiligingsfuncties van OAuth hebben geen voordeel voor een applicatie die rechtstreeks op uw pc wordt uitgevoerd en die volledig onder uw controle is. Daarom is OAuth een enorme overkill die alleen maar complexiteit toevoegt en geen beveiliging, in tegenstelling tot "bot wachtwoorden" (actuele applicatie wachtwoorden).

Zie ook