Manual:Huggle/Bot passwords/de
Da MediaWiki Anwendungspasswörter (genannt Bot-Passwörter) implementiert und die Standard-API-Anmeldung eingestellt hat, wurde diese Funktion auch in Huggle implementiert und ist jetzt eine empfohlene Authentifizierungsmethode.
| File:Walnut.svg | <translate> This page in a nutshell:</translate> Bot-Passwörter machen den Zugriff auf Deinem Konto über Huggle sicherer, da Du Dein echtes Passwort nie preisgeben und die Zugriffsebene festlegen kannst, die es haben wird. |
Um Bot-Passwörter in Huggle zu verwenden, musst Du zunächst eines generieren. Du kannst dies tun, indem Du Special:BotPasswords besuchst.
Es wird empfohlen, Huggle die folgenden Berechtigungen zu erteilen, wenn Du es in vollem Umfang nutzen möchtest:
| grant-highvolume | High-volume editing | |
| grant-editpage | Edit existing pages | |
| grant-editmycssjs | Edit your user CSS/JSON/JavaScript | Bearbeite Dein Benutzer-CSS/JSON/JavaScript (erforderlich, um Deine Optionen zu speichern) |
| grant-createeditmovepage | Create, edit, and move pages | required to warn users who don't have talk page yet |
| grant-patrol | Patrol changes to pages | |
| grant-rollback | Rollback changes to pages | |
| grant-blockusers | Block and unblock users | |
| grant-delete | Delete pages, revisions, and log entries | |
| grant-protect | Protect and unprotect pages | |
| grant-viewmywatchlist | View your watchlist | |
| grant-editmywatchlist | Edit your watchlist |
Das Einschränken einer dieser Berechtigungen für Huggle kann zu zufälligen Ausfällen verschiedener Funktionen führen.
Warum bist Du sicherer?
Die Anmeldung über ein Passwort mit vollem Zugriff auf Dein Konto ist wahrscheinlich die am wenigsten sichere Methode, die überall vermieden werden sollte, nicht nur bei Huggle. Das eingegebene Passwort könnte vom Keylogger-Virus protokolliert oder auf andere Weise aufgezeichnet werden. Theoretisch könnte jemand auch eine Malware-Version von Huggle aus seinem Quellcode kompilieren und diese Binärdatei naiven Benutzern anbieten, die sie ausführen und ihr Passwort eingeben.
Wenn jemand Dein Bot-Passwort stiehlt, kann er damit nicht viel anfangen. Die Bearbeitung ist nur über die API möglich und du bist weitaus eingeschränkter, als wenn du Dein echtes Passwort verwenden würdest.
Wieso Huggle nicht nur OAuth verwendet
Because OAuth is a technology that was never designed with desktop applications in mind. OAuth was designed to allow web-based applications to login over another web server that hosts the credential database (in this case, over Wikimedia's central auth).
Each web based application therefore has its own secret that is located on a web server run by the provider of the application and uses this secret to verify the authenticity of the application. Then, using web callbacks the authentication server communicates the results of a login back to the website you want to login to.
Now, Huggle is not a web server, it's an application running on your system, so there is no way to securely store a secret used to validate its authenticity, and there is no easy way to handle callbacks from an OAuth server, and the process is overly complex for something that could be done much more simply. The security features of OAuth don't have any benefit for an application that is running directly on your PC and that is fully under your control. Therefore OAuth is a huge overkill that only adds complexity and no security, unlike "bot passwords" (actual Application Passwords).
Siehe auch
- Handbuch:Bot-Passwörter
- w:Wikipedia:Using AWB with 2FA - Eine einfache Anleitung zur Verwendung von BotPasswords
