Википедия:Запросы к бюрократам: различия между версиями

• Общий
• Новости
• Вопросы
• Предложения
• Правила
• Технический
• Вниманию участников

• Discord
• IRC

---

• Авторское право
• Викиданные
• Географический
• Грамотность
• Исторический
• Источники
• Помощь начинающим
• Форум Инкубатора

---

• Администраторов
• Арбитров
• Ботоводов
• Патрулирующих
• Подводящих итоги

• Оспаривание итогов
• административных действий

---

• Запросы к администраторам
• арбитрам
• ботоводам
• бюрократам
• иллюстраторам
• патрулирующим
• службе VRT
• чекъюзерам
• технические

---

• на восстановление страниц
• изменение спам-листа
• литературу
• перевод
• переименование участников
• посредничество
• проверку топонимов
• транскрипцию

ВП:ЗКБВП:ЗКБ ВП:ЗКБЮВП:ЗКБЮ

На этой странице обсуждаются вопросы, входящие в компетенцию бюрократов проекта.

Для срочных вопросов можно использовать следующие средства связи:

Имя
colt_browning (википочта)
Levg (википочта)
Sir Shurf (википочта)
Track13 (википочта)
Vladimir Solovjev (википочта)

↑

Пожалуйста, добавляйте новые темы сверху

Добавить новый запрос   ·  Архивы запросов

К итогу

Чтобы эта тема не превращалась в политические баталии: давайте сейчас возьмём паузу. Тему я закрываю, пока флаги мы не снимаем. Пусть страсти немного утихнут, а то сейчас эмоции перевешивают здравый смысл. Если участник не передумает, снять флаги мы всегда успеем.-- Vladimir Solovjev ^обс 13:27, 24 февраля 2022 (UTC)[ответить]

В связи с обострившейся ситуацией прошу снять с меня выше указанные флаги до более спокойного времени. Спасибо. Сергио (обс.) 05:18, 24 февраля 2022 (UTC)[ответить]

• Как я написал в разделе выше — не стоит обращать на ситуацию внимание и просить снять флаги. Возьмите вики-отпуск, если сейчас не хотите участвовать. -- La loi et la justice (обс.) 05:51, 24 февраля 2022 (UTC)[ответить]
  • Я думаю в первую очередь про свою безопасность, а флаги потенциальная уязвимость. Сергио (обс.) 05:59, 24 февраля 2022 (UTC)[ответить]

Итог

Бюрократы, находящиеся онлайн, сейчас обсудили и решили следующие: флаги мы по запросу снимаем. При этом после того как ситуация, как мы надеемся, изменится, флаги могут быть возвращены простым запросом к бюрократом без новой заявки на флаги. Vladimir Solovjev ^обс 11:17, 24 февраля 2022 (UTC)[ответить]

Просьба к бюрократам или другим опытным участникам, хорошо знакомым с практикой выборов, подвести итог обсуждения. NBS (обс.) 16:22, 17 февраля 2022 (UTC)[ответить]

Сегодня в 9:34 UTC злоумышленникам удалось запустить у участника putnik код, который сделал правку в общем JS-файле, добавившую их скрипт для всех участников. putnik обнаружил и откатил правку через минуту. На момент отката скрипт, вызов которого добавили злоумышленники, не имел какого-либо вредоносного кода.

Атака использовала методы социальной инженерии и XSS в личных скриптах, а её целью был только putnik. Другие учётные записи затронуты не были. XSS-уязвимость была исправлена, все известные учётные записи злоумышленников — глобально заблокированы. Сведения об инциденте переданы специалистам Фонда Викимедиа. stjn 21:05, 1 декабря 2021 (UTC)[ответить]

• Нет ли необходимости в ревизорском скрытии удалённых правок злоумышленников? — Good Will Hunting (обс.) 00:02, 2 декабря 2021 (UTC)[ответить]
  • На мой взгляд: да, саму правку и «черновик» следует скрыть, как делалось в прошлом с подобными атаками в других проектах. Но так как ревизоры в курсе ситуации и не предприняли этих действий, я не могу этого от них требовать. stjn 09:23, 2 декабря 2021 (UTC)[ответить]
• Исходя из имеющейся информации, для хотя бы частичного пресечения возможности подобных атак следует иметь флаги администратора интерфейса на учётных записях, не имеющих подключенными никаких скриптов и гаджетов, то есть (чтобы не создавать неудобств основной учётке) - на отдельных учётных записях, с которых будут совершаться только правки, требущие флага АИ. В идеале то же самое нужно сделать и с флагом бюрократа (иметь его на отдельной учётке, не использующей никаких скриптов и гаджетов), потому что скомпрометированная указанным образом учётка бюрократа может выдать кому угодно флаг АИ, и далее по схеме. Хотя я понимаю, что в такой мере убедить сообщество будет сильно труднее, интерфейс-админы хотя бы сами все технические специалисты и понимают, зачем это надо. Но по-хорошему надо реализовать обе меры (возможно, лучший вариант - лишить локальных бюрократов технической возможности выдавать флаг АИ, пусть они подводят итоги ЗСАИ, а флаг выдают стюарды), потому что и бюрократские действия (выдача флагов админа/ИА/бота), и ИАшные - это действия, которые каждый флагоносец совершает далеко не каждый день, для них несложно и в допучётку перелогиниться. Даже с 2FA (TOTP) на ней. MBH 16:19, 2 декабря 2021 (UTC)[ответить]
  • А ведь использование отдельных учётных записей предлагалось ещё здесь… И, судя по комментариям там, я опасаюсь, что текущие администраторы интерфейса и бюрократы могут быть категорически против. Я бы, конечно, поддержал требование использования отдельных учётных записей под эти цели, но вряд ли тут подходящая площадка и нужно ещё самих бюрократов и администраторов интерфейса спросить, не захотят ли они разом сдать флаги из-за того, что это им «воркфлоу разрушит». adamant.pwn — contrib/talk 16:29, 2 декабря 2021 (UTC)[ответить]
    • Ну, там есть некоторые явные преувеличения: держать учётку в блокировке, много лет высокой экзоактивности (напомню, что наши видные техники и вандалоборцы Джек, Сергио Мэгпай, Кубит, Пинг08, ОЛМ и Алекс Смотров к моменту получения флагов инженера [тогда ещё имевшего права ИА] или админа имели очень малый стаж и экзовклад, но сразу было понятно, что они грамотные техники), подтверждение личности ИРЛ... Не думаю, что текущие ИА будут против моего предложения без расширений от aGRa: практика показала необходимость такой политики, и они сами должны понимать необходимость её. Бюров, повторю, куда проще будет лишить права присваивать ИА (даже без лишения права подводить итоги на ЗСАИ). MBH 16:36, 2 декабря 2021 (UTC)[ответить]
      • Там была правильная мысль: повторная авторизация перед совершением любых действий, связанных с редактированием общесайтовых скриптов. Но боюсь, добиться этого от разработчиков движка нереально. Землеройкин (обс.) 16:42, 2 декабря 2021 (UTC)[ответить]
        • Да, это мощное решение, которого нужно добиваться. На других сайтах давно повторная авторизация, когда в профиле входишь на страницу смены паролей/кредов. MBH 16:44, 2 декабря 2021 (UTC)[ответить]
          • При смене пароля как раз и в MediaWiki требуется повторная авторизация. Здесь был Вася 𝟙𝟤𝟯𝟺𝐪𝑤𝒆𝓇𝟷𝟮𝟥𝟜𝓺𝔴𝕖𝖗𝟰^{⇝обс⇜⇝вклад⇜} 02:09, 29 декабря 2021 (UTC)[ответить]
      • > практика показала необходимость такой политики, и они сами должны понимать необходимость её
        Если эти атаки не продолжатся и будут требовать серьёзного изучения проблем в наших скриптах и гаджетах, — по-моему, нет, не показала. Нет никаких проблем подождать оценки и действий со стороны того же Фонда в данной ситуации, и нет поводов для спешки. stjn 22:29, 2 декабря 2021 (UTC)[ответить]
    • Не вижу смысла требовать подобное, это создаст только лишние сложности. Пока что прецедентов захвата учёток не было. Но если кто-то захочет подобное, то проблем в переносе флагов на другую учётку нет. Vladimir Solovjev ^обс 10:07, 5 декабря 2021 (UTC)[ответить]
  • В связи с этим у меня практический вопрос к бюрократам: если я попрошу перенести флаги ПИ/А (и в будущем АИ) на отдельную учетку — это можно будет организовать? Хотелось бы продолжить править с текущей учетки, а для спецдействий я просто буду логинится в инкогнито, делать необходимые действия и закрывать браузер Ghuron (обс.) 16:55, 2 декабря 2021 (UTC)[ответить]
    • Я не вижу каких-то проблем в том, чтобы перенести флаги на отдельную учётку, они ведь присваиваются человеку. Vladimir Solovjev ^обс 09:57, 5 декабря 2021 (UTC)[ответить]
  • Разумно. Пожалуй, даже можно ввести требование создания отдельной учётной записи для флагов администратора и выше. Никого вроде бы не смущает, что для бота нужна отдельная учётная запись; как и в случае с ботом, соответствие между учётными записями должно декларироваться на ЛС. Если злоумышленники захватят учётную запись администратора — это ой: они смогут заблокировать всех участников, а все страницы удалить и защитить от создания. А если злоумышленники захватят учётную запись бюрократа — это ой в квадрате. Гамлиэль Фишкин 18:01, 2 декабря 2021 (UTC)[ответить]
    • Надо начинать с флага ПИ, слишком много удалить могут. С уважением, Iniquity 18:09, 2 декабря 2021 (UTC)[ответить]
      • Разумно. Гамлиэль Фишкин 18:11, 2 декабря 2021 (UTC)[ответить]
    • Вы правда думаете, что за 20+ лет существования Википедии вандалы и вообще злоумышленники не захватывали аккаунты админов и не пытались всех заблокировать и всё удалить? Пытались, конечно, но все такие атаки отбивались быстро. AndyVolykhov ^↔ 21:14, 2 декабря 2021 (UTC)[ответить]
      • Всех заблокировать и всё удалить - это полная фигня, это не нужно никому извне и серьёзного вреда проекту и участникам не несёт. Внедрение же кода в скрипты может нанести такой вред (не буду рассказывать как). MBH 03:17, 3 декабря 2021 (UTC)[ответить]
      • Захватывали (да уж). Но одно дело, когда это детский вандализм (блокировка основателя — продвинутый вариант замены текста статьи нецензурным словом), и совсем другое, когда действия заранее продуманы, преследуют определённую цель и осуществляются заранее настроенным ботом. Гамлиэль Фишкин 04:47, 3 декабря 2021 (UTC)[ответить]
    • Упаси Боже! Нормальный воркфлоу ПИ, ну по крайней мере у меня, — это в перемешку делать статейные правки и удаления, у админов наверняка это ещё более перемешано, выделение флага на отдельную учётку будет ужасно мешать. Собственно, кроме АИНа ничего такого, что стоило бы для безопасности выделять на отдельную учётку, и нет. Викизавр (обс.) 20:38, 19 января 2022 (UTC)[ответить]
      • Не то чтобы сильно мешать. Это просто бессмысленно. Сейчас залогинен с одной учетки. С условным введением подобной меры буду залогинен в двух браузерах (или браузер + инкогнито) параллельно. Влияние на безопасность нулевое. - DZ - 20:50, 19 января 2022 (UTC)[ответить]
        • Нам нужно только сделать так, чтобы ссылки на всякие сомнительные черновики открывались не с админской учётки, а с бесфлажной. Это золотой стандарт компьютерной безопасности — не использовать УЗ с повышенным доступом, пока он не нужен. UAC в Виндоуз именно так работает — спрашивает повышения перед совершением действий, требующих повышения. — Ле Лой 21:27, 19 января 2022 (UTC)[ответить]
          • Как раз пример с UAC под Windows очень хороший. Но как доказательство того, что защитные системы, сильно мешающие работать, очень быстро выключаются разозлёнными пользователями. И в итоге получается ещё хуже. Когда Microsoft первый раз ввела UAC (в Windows Vista), этот защитный механизм настолько задалбливал пользователей, что они его сразу отключали. В следующих версиях Windows, Microsoft резко снизила количество запросов UAC по умолчанию. Когда количество административных действий в день сопоставимо с количеством правок, разделение учёток просто не будут работать. И самое главное — зачем нападающему заманивать админа в подозрительный черновик? Атака возможна на абсолютно любой странице. P.S.: Но вот что может несколько уменьшить вероятность заражения — никогда не заходить в мелкие проекты (где с безопасностью намного хуже) с основной учётки с флагами. -- Q-bit array (обс.) 21:59, 19 января 2022 (UTC)[ответить]
    • Для бота отдельная учётка нужна не из-за его повышенных прав, а чтобы его правки можно было отфильтровывать из СН. MBH 23:38, 19 января 2022 (UTC)[ответить]

Итог

Для архивации закрою тему. stjn 08:59, 24 февраля 2022 (UTC)[ответить]

Коллеги, в связи с Википедия:Проверка участников/Buratino89 я не могу полностью исключить вероятность того, что мой комп скомпрометирован. Снимите с меня пожалуйста флаг АИ Ghuron (обс.) 15:46, 1 декабря 2021 (UTC)[ответить]

• Снял флаг не вникая в детали. Если тревога ложная флаг будет возвращён по запросу сюда. Sir Shurf (обс.) 15:53, 1 декабря 2021 (UTC)[ответить]
  • Спасибо, мне так спокойнее Ghuron (обс.) 15:57, 1 декабря 2021 (UTC)[ответить]
    • Здесь находятся завершившиеся обсуждения. Просьба не вносить изменений.

      @Ghuron: Единственная операционная система на моём компьютере — Debian stable. Я не устанавливаю и не запускаю на своём компьютере программное обеспечение, в безопасности источника которого у меня нет полной уверенности. Я периодически проверяю наличие обновлений и, просмотрев их список, устанавливаю обновления. У меня установлен и тщательно настроен файрволл. Поэтому мой компьютер не скомпрометирован. Чего и Вам желаю. Гамлиэль Фишкин 00:24, 2 декабря 2021 (UTC)[ответить]

      • @Gamliel Fishkin ваш компьютер не скомпрометирован только потому, что вами достаточно плотно не занялись. От уязвимости того типа, которую подцепил Putnik, вас все эти (безусловно, совершенно разумные) советы никак не спасли бы. — Ле Лой 05:16, 2 декабря 2021 (UTC)[ответить]
        • @Ле Лой: То есть или его заставили (как администратора Википедии на французском), или воспользовались доверчивостью и технической неграмотностью кого-то из его близких, чтобы дотянуться до его компьютера или другого девайса. Думаю, что второе — в первом случае он не смог бы откатить ту правку через минуту; к тому же прямо сказано про социальную инженерию. Гамлиэль Фишкин 05:37, 2 декабря 2021 (UTC)[ответить]
          • Ни то, ни другое, физического доступа к компьютеру злоумышленнику не было нужно вообще. Подробно объяснять детали воздержусь. — Ле Лой 05:43, 2 декабря 2021 (UTC)[ответить]
      • Cовет хороший, но в данном случае нужен другой, и его стоит всё же озвучить: тщательно проверяйте свои скрипты. Никакие данные, полученные из внешнего мира (это, в том числе, из вики-кода страницы) нельзя бездумно пихать в html. Каким боком тут Ghuron и «специалисты Фонда Викимедиа», вообще непонятно. Землеройкин (обс.) 09:00, 2 декабря 2021 (UTC)[ответить]
        • Я о том, что было бы лучше, если бы участники, имеющие большие флаги (начиная с ПИ), никогда не входили бы в свои учётные записи с устройств с операционными системами с закрытым исходным кодом, а также с тивоизированных устройств (т.е. устройств, не позволяющих пользователю устанавливать операционную систему по своему выбору). Конечно, идеально было бы ввести это в Правила, но фонд не даст (во-первых, потому что против будут юристы фонда, которых фонд ценит несравнимо выше, чем редакторов Википедии; во-вторых, потому что многие участники будут против). Гамлиэль Фишкин 18:10, 2 декабря 2021 (UTC)[ответить]
          • 90% таких участников даже не поймут ваших слов, а если им разъяснить, что ваши слова означают, что им нужно перейти с винды и мака на линуксы (а на телефонах альтернатив вообще нет, андроид сильно недостаточно "свободен"...) - сразу пошлют вас далеко и надолго (и правильно, в общем-то, сделают). И фонд будет против именно по этой причине, тут даже не нужно обращаться ни к каким юристам. Весь этот свободный фанатизм... на самом деле крупные компании-создатели винды и мака никак не меньше усилий прилагают для обеспечения безопасности, чем "свободное сообщество". Дыр полно и там, и там, и там, причём относительно числа пользователей как бы их не было больше в линуксе. И повторимся: всё это совершенно никак не защитило бы от произошедшей атаки. MBH 18:32, 2 декабря 2021 (UTC)[ответить]
            • Вполне могу представить, что >90% всех участников не поймут. И ладно. Но компьютерная неграмотность любого участника с большим флагом опасна для Википедии. И я знаю, что ведроид не вполне свободен (да, RHEL тоже содержит закрытые компоненты, но они не являются жизненно важными для системы). Если админу хочется редактировать с телефончика, то пусть заведёт для телефончика отдельную учётную запись, с которой только редактирует, а администрирует пусть только с более подходящего для этого девайса. (Как минимум у одного администратора есть дополнительная учётная запись без больших флагов, и ещё как минимум один такой случай я знаю в прошлом.) А разработчики операционных систем делятся на тех, которые хорошо умеют разрабатывать операционные системы, и тех, которые хорошо умеют их продавать. IMHO, большинство пользователей некоторых популярных операционных систем используют именно эти операционные системы не в результате осознанного выбора, а по причине неспособности или нежелания сделать выбор: они слепо подчиняются выбору, сделанному за них (школа, компьютерные курсы, предустановка в магазине). За таких пользователей не требуется бороться: сколько бы они ни узнали о недостатках используемой ими операционной системы, они не уйдут на другую («мыши плакали, кололись, но всё равно жрали кактус»). Птенцам некоторых птиц инстинкт велит до достижения определённого возраста неотступно следовать за первым предметом, который птенец увидел в своей жизни; обычно это мама птенцов, но может быть какой угодно предмет (например, мяч — был проведён такой эксперимент). Такое впечатление, что у большинства пользователей есть похожий инстинкт: они вечно держатся за ту операционную систему, которую увидели первой; в отличие от птиц, у пользователей этот инстинкт не проходит с возрастом. Гамлиэль Фишкин 05:32, 3 декабря 2021 (UTC)[ответить]
              • Многим людям для освоения чего-то нового необходимо взять где-то на это дополнительную энергию (не ту, которая в 1 шоколадке находится), если лишней нет — надо оторвать из одного места, и перебросить в другое, а это не всегда можно сделать беспроблемно. Поэтому люди в тех вопросах, которые им на текущий момент кажутся не сильно принципиальными, просто выбирают самый безболезненный и энергетически экономный для себя вариант — что проще. — Uchastnik1 (обс.) 07:07, 3 декабря 2021 (UTC)[ответить]
    • Остановлю этот поток флуда, не имеющего отношения к делу. Сергио (обс.) 20:07, 3 декабря 2021 (UTC)