Википедия:Запросы к бюрократам

↱
  • ВП:ЗКБ
  • ВП:ЗКБЮ

На этой странице обсуждаются вопросы, связанные с флагом бюрократа проекта.

При этом есть отдельные страницы для:

С 15 сентября 2014 года запросы на User with strange head.svg узурпацию учётных записей без вклада выполняются только стюардами.

Для срочных вопросов можно использовать следующие средства связи:

Имя Skype
Levg (википочта)
Sir Shurf (википочта)
Track13 (википочта)
Vladimir Solovjev (википочта)


Пожалуйста, добавляйте новые темы сверху
Добавить новый запрос   ·  Архивы запросов



Инцидент с безопасностью скриптов (1 декабря 2021)Править

Сегодня в 9:34 UTC злоумышленникам удалось запустить у участника putnik код, который сделал правку в общем JS-файле, добавившую их скрипт для всех участников. putnik обнаружил и откатил правку через минуту. На момент отката скрипт, вызов которого добавили злоумышленники, не имел какого-либо вредоносного кода.

Атака использовала методы социальной инженерии и XSS в личных скриптах, а её целью был только putnik. Другие учётные записи затронуты не были. XSS-уязвимость была исправлена, все известные учётные записи злоумышленников — глобально заблокированы. Сведения об инциденте переданы специалистам Фонда Викимедиа. stjn 21:05, 1 декабря 2021 (UTC)

  • Нет ли необходимости в ревизорском скрытии удалённых правок злоумышленников? — Good Will Hunting (обс.) 00:02, 2 декабря 2021 (UTC)
    • На мой взгляд: да, саму правку и «черновик» следует скрыть, как делалось в прошлом с подобными атаками в других проектах. Но так как ревизоры в курсе ситуации и не предприняли этих действий, я не могу этого от них требовать. stjn 09:23, 2 декабря 2021 (UTC)
  • Исходя из имеющейся информации, для хотя бы частичного пресечения возможности подобных атак следует иметь флаги администратора интерфейса на учётных записях, не имеющих подключенными никаких скриптов и гаджетов, то есть (чтобы не создавать неудобств основной учётке) - на отдельных учётных записях, с которых будут совершаться только правки, требущие флага АИ. В идеале то же самое нужно сделать и с флагом бюрократа (иметь его на отдельной учётке, не использующей никаких скриптов и гаджетов), потому что скомпрометированная указанным образом учётка бюрократа может выдать кому угодно флаг АИ, и далее по схеме. Хотя я понимаю, что в такой мере убедить сообщество будет сильно труднее, интерфейс-админы хотя бы сами все технические специалисты и понимают, зачем это надо. Но по-хорошему надо реализовать обе меры (возможно, лучший вариант - лишить локальных бюрократов технической возможности выдавать флаг АИ, пусть они подводят итоги ЗСАИ, а флаг выдают стюарды), потому что и бюрократские действия (выдача флагов админа/ИА/бота), и ИАшные - это действия, которые каждый флагоносец совершает далеко не каждый день, для них несложно и в допучётку перелогиниться. Даже с 2FA (TOTP) на ней. MBH 16:19, 2 декабря 2021 (UTC)
    • А ведь использование отдельных учётных записей предлагалось ещё здесь… И, судя по комментариям там, я опасаюсь, что текущие администраторы интерфейса и бюрократы могут быть категорически против. Я бы, конечно, поддержал требование использования отдельных учётных записей под эти цели, но вряд ли тут подходящая площадка и нужно ещё самих бюрократов и администраторов интерфейса спросить, не захотят ли они разом сдать флаги из-за того, что это им «воркфлоу разрушит». adamant.pwncontrib/talk 16:29, 2 декабря 2021 (UTC)
      • Ну, там есть некоторые явные преувеличения: держать учётку в блокировке, много лет высокой экзоактивности (напомню, что наши видные техники и вандалоборцы Джек, Сергио Мэгпай, Кубит, Пинг08, ОЛМ и Алекс Смотров к моменту получения флагов инженера [тогда ещё имевшего права ИА] или админа имели очень малый стаж и экзовклад, но сразу было понятно, что они грамотные техники), подтверждение личности ИРЛ... Не думаю, что текущие ИА будут против моего предложения без расширений от aGRa: практика показала необходимость такой политики, и они сами должны понимать необходимость её. Бюров, повторю, куда проще будет лишить права присваивать ИА (даже без лишения права подводить итоги на ЗСАИ). MBH 16:36, 2 декабря 2021 (UTC)
        • Там была правильная мысль: повторная авторизация перед совершением любых действий, связанных с редактированием общесайтовых скриптов. Но боюсь, добиться этого от разработчиков движка нереально. Землеройкин (обс.) 16:42, 2 декабря 2021 (UTC)
          • Да, это мощное решение, которого нужно добиваться. На других сайтах давно повторная авторизация, когда в профиле входишь на страницу смены паролей/кредов. MBH 16:44, 2 декабря 2021 (UTC)
        • > практика показала необходимость такой политики, и они сами должны понимать необходимость её
          Если эти атаки не продолжатся и будут требовать серьёзного изучения проблем в наших скриптах и гаджетах, — по-моему, нет, не показала. Нет никаких проблем подождать оценки и действий со стороны того же Фонда в данной ситуации, и нет поводов для спешки. stjn 22:29, 2 декабря 2021 (UTC)
      • Не вижу смысла требовать подобное, это создаст только лишние сложности. Пока что прецедентов захвата учёток не было. Но если кто-то захочет подобное, то проблем в переносе флагов на другую учётку нет. Vladimir Solovjev обс 10:07, 5 декабря 2021 (UTC)
    • В связи с этим у меня практический вопрос к бюрократам: если я попрошу перенести флаги ПИ/А (и в будущем АИ) на отдельную учетку — это можно будет организовать? Хотелось бы продолжить править с текущей учетки, а для спецдействий я просто буду логинится в инкогнито, делать необходимые действия и закрывать браузер Ghuron (обс.) 16:55, 2 декабря 2021 (UTC)
      • Я не вижу каких-то проблем в том, чтобы перенести флаги на отдельную учётку, они ведь присваиваются человеку. Vladimir Solovjev обс 09:57, 5 декабря 2021 (UTC)
    • Разумно. Пожалуй, даже можно ввести требование создания отдельной учётной записи для флагов администратора и выше. Никого вроде бы не смущает, что для бота нужна отдельная учётная запись; как и в случае с ботом, соответствие между учётными записями должно декларироваться на ЛС. Если злоумышленники захватят учётную запись администратора — это ой: они смогут заблокировать всех участников, а все страницы удалить и защитить от создания. А если злоумышленники захватят учётную запись бюрократа — это ой в квадрате. Гамлиэль Фишкин 18:01, 2 декабря 2021 (UTC)
      • Надо начинать с флага ПИ, слишком много удалить могут. С уважением, Iniquity 18:09, 2 декабря 2021 (UTC)
      • Вы правда думаете, что за 20+ лет существования Википедии вандалы и вообще злоумышленники не захватывали аккаунты админов и не пытались всех заблокировать и всё удалить? Пытались, конечно, но все такие атаки отбивались быстро. AndyVolykhov 21:14, 2 декабря 2021 (UTC)
        • Всех заблокировать и всё удалить - это полная фигня, это не нужно никому извне и серьёзного вреда проекту и участникам не несёт. Внедрение же кода в скрипты может нанести такой вред (не буду рассказывать как). MBH 03:17, 3 декабря 2021 (UTC)
        • Захватывали (да уж). Но одно дело, когда это детский вандализм (блокировка основателя — продвинутый вариант замены текста статьи нецензурным словом), и совсем другое, когда действия заранее продуманы, преследуют определённую цель и осуществляются заранее настроенным ботом. Гамлиэль Фишкин 04:47, 3 декабря 2021 (UTC)

Сдам флаг АИПравить

Коллеги, в связи с Википедия:Проверка участников/Buratino89 я не могу полностью исключить вероятность того, что мой комп скомпрометирован. Снимите с меня пожалуйста флаг АИ Ghuron (обс.) 15:46, 1 декабря 2021 (UTC)

  • Снял флаг не вникая в детали. Если тревога ложная флаг будет возвращён по запросу сюда. Sir Shurf (обс.) 15:53, 1 декабря 2021 (UTC)
    • Спасибо, мне так спокойнее Ghuron (обс.) 15:57, 1 декабря 2021 (UTC)
      • Здесь находятся завершившиеся обсуждения. Просьба не вносить изменений.
        @Ghuron: Единственная операционная система на моём компьютере — Debian stable. Я не устанавливаю и не запускаю на своём компьютере программное обеспечение, в безопасности источника которого у меня нет полной уверенности. Я периодически проверяю наличие обновлений и, просмотрев их список, устанавливаю обновления. У меня установлен и тщательно настроен файрволл. Поэтому мой компьютер не скомпрометирован. Чего и Вам желаю. Гамлиэль Фишкин 00:24, 2 декабря 2021 (UTC)
        • @Gamliel Fishkin ваш компьютер не скомпрометирован только потому, что вами достаточно плотно не занялись. От уязвимости того типа, которую подцепил Putnik, вас все эти (безусловно, совершенно разумные) советы никак не спасли бы. Ле Лой 05:16, 2 декабря 2021 (UTC)
          • @Ле Лой: То есть или его заставили (как администратора Википедии на французском), или воспользовались доверчивостью и технической неграмотностью кого-то из его близких, чтобы дотянуться до его компьютера или другого девайса. Думаю, что второе — в первом случае он не смог бы откатить ту правку через минуту; к тому же прямо сказано про социальную инженерию. Гамлиэль Фишкин 05:37, 2 декабря 2021 (UTC)
            • Ни то, ни другое, физического доступа к компьютеру злоумышленнику не было нужно вообще. Подробно объяснять детали воздержусь. Ле Лой 05:43, 2 декабря 2021 (UTC)
        • Cовет хороший, но в данном случае нужен другой, и его стоит всё же озвучить: тщательно проверяйте свои скрипты. Никакие данные, полученные из внешнего мира (это, в том числе, из вики-кода страницы) нельзя бездумно пихать в html. Каким боком тут Ghuron и «специалисты Фонда Викимедиа», вообще непонятно. Землеройкин (обс.) 09:00, 2 декабря 2021 (UTC)
          • Я о том, что было бы лучше, если бы участники, имеющие большие флаги (начиная с ПИ), никогда не входили бы в свои учётные записи с устройств с операционными системами с закрытым исходным кодом, а также с тивоизированных устройств (т.е. устройств, не позволяющих пользователю устанавливать операционную систему по своему выбору). Конечно, идеально было бы ввести это в Правила, но фонд не даст (во-первых, потому что против будут юристы фонда, которых фонд ценит несравнимо выше, чем редакторов Википедии; во-вторых, потому что многие участники будут против). Гамлиэль Фишкин 18:10, 2 декабря 2021 (UTC)
            • 90% таких участников даже не поймут ваших слов, а если им разъяснить, что ваши слова означают, что им нужно перейти с винды и мака на линуксы (а на телефонах альтернатив вообще нет, андроид сильно недостаточно "свободен"...) - сразу пошлют вас далеко и надолго (и правильно, в общем-то, сделают). И фонд будет против именно по этой причине, тут даже не нужно обращаться ни к каким юристам. Весь этот свободный фанатизм... на самом деле крупные компании-создатели винды и мака никак не меньше усилий прилагают для обеспечения безопасности, чем "свободное сообщество". Дыр полно и там, и там, и там, причём относительно числа пользователей как бы их не было больше в линуксе. И повторимся: всё это совершенно никак не защитило бы от произошедшей атаки. MBH 18:32, 2 декабря 2021 (UTC)
              • Вполне могу представить, что >90% всех участников не поймут. И ладно. Но компьютерная неграмотность любого участника с большим флагом опасна для Википедии. И я знаю, что ведроид не вполне свободен (да, RHEL тоже содержит закрытые компоненты, но они не являются жизненно важными для системы). Если админу хочется редактировать с телефончика, то пусть заведёт для телефончика отдельную учётную запись, с которой только редактирует, а администрирует пусть только с более подходящего для этого девайса. (Как минимум у одного администратора есть дополнительная учётная запись без больших флагов, и ещё как минимум один такой случай я знаю в прошлом.) А разработчики операционных систем делятся на тех, которые хорошо умеют разрабатывать операционные системы, и тех, которые хорошо умеют их продавать. IMHO, большинство пользователей некоторых популярных операционных систем используют именно эти операционные системы не в результате осознанного выбора, а по причине неспособности или нежелания сделать выбор: они слепо подчиняются выбору, сделанному за них (школа, компьютерные курсы, предустановка в магазине). За таких пользователей не требуется бороться: сколько бы они ни узнали о недостатках используемой ими операционной системы, они не уйдут на другую («мыши плакали, кололись, но всё равно жрали кактус»). Птенцам некоторых птиц инстинкт велит до достижения определённого возраста неотступно следовать за первым предметом, который птенец увидел в своей жизни; обычно это мама птенцов, но может быть какой угодно предмет (например, мяч — был проведён такой эксперимент). Такое впечатление, что у большинства пользователей есть похожий инстинкт: они вечно держатся за ту операционную систему, которую увидели первой; в отличие от птиц, у пользователей этот инстинкт не проходит с возрастом. Гамлиэль Фишкин 05:32, 3 декабря 2021 (UTC)
                • Многим людям для освоения чего-то нового необходимо взять где-то на это дополнительную энергию (не ту, которая в 1 шоколадке находится), если лишней нет — надо оторвать из одного места, и перебросить в другое, а это не всегда можно сделать беспроблемно. Поэтому люди в тех вопросах, которые им на текущий момент кажутся не сильно принципиальными, просто выбирают самый безболезненный и энергетически экономный для себя вариант — что проще. — Uchastnik1 (обс.) 07:07, 3 декабря 2021 (UTC)

Закрыть ЗСАПравить

Википедия:Заявки_на_статус_администратора/Евгений_Юрьев#К_итогу YarTim (обсуждение, вклад) 18:48, 3 ноября 2021 (UTC)

ИтогПравить

Владимир закрыл. YarTim (обсуждение, вклад) 07:52, 4 ноября 2021 (UTC)