Jump to content

Manual:ハグル/ボット パスワード

From mediawiki.org
This page is a translated version of the page Manual:Huggle/Bot passwords and the translation is 100% complete.

MediaWiki がアプリケーション パスワード (ボット パスワードとも呼ばれる) を実装し、標準の API ログインを非推奨にしたため、この機能はハグルにも実装され、現在は推奨される認証方法となっています。

ハグルでボット パスワードを使用するには、まず 1 つ生成する必要があります。 Special:BotPasswords で生成できます。

ハグルを最大限に活用するために、以下のアクセス権限を付与することを推奨します:

grant-highvolume 大量の(ボット)アクセス
grant-editpage 既存のページを編集
grant-editmycssjs あなた自身の利用者 CSS/JSON/JavaScript を編集 オプションを保管するために必要
grant-createeditmovepage ページを作成、編集、移動 まだトークページがない利用者に警告するために必要
grant-patrol ページの変更を巡回
grant-rollback ページの変更を巻き戻し
grant-blockusers 利用者をブロックおよびブロック解除
grant-delete ページ、版、記録項目を削除
grant-protect ページを保護および保護解除
grant-viewmywatchlist あなたのウォッチリストを閲覧
grant-editmywatchlist あなたのウォッチリストを編集

ハグルのこれらのアクセス権限のいずれかを制限すると、さまざまな機能がランダムに正常動作しなくなる可能性があります。

ボット パスワードがよりセキュアである理由

アカウントに完全なアクセス権を持つパスワードでログインすることは、おそらく最も安全ではない方法であり、ハグルに限らずあらゆる場所で、できるだけ避けるべきです。 入力されたパスワードは、キーロガーのウイルスやその他の方法で記録されてしまう可能性があります。 理論的には、誰かがハグルのソースコードを基にしてマルウェア バージョンをコンパイルし、これをバイナリとして無知な利用者に提供し、それを実行してパスワードを入力させられます。

ボット パスワードが盗まれても、それを使ってあまり多くのことはできません。 編集は API を介してのみ可能であり、実際のパスワードを使用するよりもはるかに制限されています。

ハグルがOAuthを使用しない理由

OAuth は元々デスクトップ アプリケーションを考慮して設計されたものではないからです。 OAuth は、ウェブ ベースのアプリケーションが、認証データベース (今回の場合、ウィキメディアの中央管理認証) をホスティングしている別のウェブ サーバーを介してログインできるように設計されました。

それぞれのウェブ ベースのアプリケーションは、その提供元が運営するウェブ サーバー上にある独自の秘密鍵を持ち、この秘密鍵を使用してアプリケーションの正当性を検証します。 その後、ウェブ コールバックを使用して、認証サーバーはログインの結果を、ログインしたいウェブサイトに伝えます。

現在、ハグルはウェブ サーバーではなく、システム上で実行されるアプリケーションです。そのため、その信頼性を検証するために使用される秘密を安全に保存する方法がなく、OAuth サーバーからのコールバックを簡単に処理する方法がありません。この過程は、より簡単に行えるはずのものに対して過度に複雑です。 OAuth のセキュリティ機能は、直接あなたの PC で実行され完全にあなたの管理下にあるアプリケーションには、何の利益もありません。 そのため、OAuth は複雑さを増すだけでセキュリティを提供せず無駄に大げさあり、「ボット パスワード」(実際はアプリケーション パスワード) とは異なります。

関連項目