Manual:Huggle/Contraseña de Bot
Dado que MediaWiki implementó contraseñas de aplicaciones (llamadas contraseñas de bot) y desaprobó el inicio de sesión API estándar, esta función también se implementó en Huggle y ahora es un método de autenticación recomendado.
 | Esta página en pocas palabras: Las contraseñas de Bot hacen que el acceso a tu cuenta a través de Huggle sea más seguro, porque nunca expones tu contraseña real y puedes definir el nivel de acceso que tendrá. |
Para usar las contraseñas de Bot en Huggle, primero debe generar una. Puede hacerlo visitando Special:BotPasswords.
Se recomienda otorgar a Huggle los siguientes permisos si desea usarlo al máximo:
| grant-highvolume | Acceso de alto volumen (robot) | |
| grant-editpage | Editar páginas existentes | |
| grant-editmycssjs | Editar tu CSS/JSON/JavaScript | Edite su CSS/JSON/JavaScript de usuario (necesario para almacenar sus opciones) |
| grant-createeditmovepage | Crear, editar y mover páginas | required to warn users who don't have talk page yet |
| grant-patrol | Verificar cambios en páginas | |
| grant-rollback | Revertir cambios en páginas | |
| grant-blockusers | Bloquear y desbloquear usuarios | |
| grant-delete | Borrar páginas, revisiones y entradas del registro | |
| grant-protect | Proteger y desproteger páginas | |
| grant-viewmywatchlist | Ver tu lista de seguimiento | |
| grant-editmywatchlist | Editar tu lista de seguimiento |
Restringir a Huggle de cualquiera de estos permisos puede resultar en fallas aleatorias de varias funciones.
¿Por qué son más seguros?
Iniciar sesión con una contraseña que tenga acceso completo a su cuenta es probablemente el método menos seguro que debe evitarse en todas partes, no solo en Huggle. La contraseña tal como se escribe podría ser registrada por el virus keylogger o registrada de alguna otra manera. En teoría, alguien también podría compilar alguna versión de malware de Huggle a partir de su código fuente y ofrecer este binario a usuarios ingenuos que lo ejecutarían e ingresarían su contraseña en él.
Si alguien roba la contraseña de tu bot, no puede hacer mucho con ella. La edición solo es posible a través de API y están mucho más restringidas que si estuvieran usando su contraseña real.
Por qué Huggle no solo usa OAuth
Porque OAuth es una tecnología que nunca se diseñó pensando en las aplicaciones de escritorio. OAuth fue diseñado para permitir que las aplicaciones basadas en web inicien sesión en otro servidor web que aloja la base de datos de credenciales (en este caso, a través de la autenticación central de Wikimedia).
Por lo tanto, cada aplicación basada en web tiene su propio secreto que se encuentra en un servidor web ejecutado por el proveedor de la aplicación y utiliza este secreto para verificar la autenticidad de la aplicación. Luego, utilizando devoluciones de llamada web, el servidor de autenticación comunica los resultados de un inicio de sesión al sitio web al que desea iniciar sesión.
Ahora, Huggle no es un servidor web, es una aplicación que se ejecuta en su sistema, por lo que no hay forma de almacenar de forma segura un secreto utilizado para validar su autenticidad, y no hay una manera fácil de manejar las devoluciones de llamada de un servidor OAuth y el proceso. es demasiado complejo para algo que podría hacerse de forma mucho más sencilla. Las funciones de seguridad de OAuth no tienen ningún beneficio para una aplicación que se ejecuta directamente en su PC y que está totalmente bajo su control. Por lo tanto, OAuth es una exageración enorme que solo agrega complejidad y no seguridad, a diferencia de las "contraseñas de bot" (contraseñas de aplicaciones reales).
Véase también
- Manual:Bot passwords
- w:Wikipedia:Using AWB with 2FA - Una guía simple para usar contraseñas de Bot