¿Es viable MediaWiki para la información confidencial?

8

Tenía la impresión de que MediaWiki, debido a su carácter de "plataforma abierta para todos los Wiki", no está diseñado para administrar información confidencial.

Encontré algunas advertencias sobre esto en las Preguntas frecuentes de MediaWiki y algunas extensiones de cuenta de usuario como:

  

Si necesita restricciones de acceso por página o parcial, está   Se recomienda instalar un paquete de gestión de contenido adecuado.   MediaWiki no fue escrito para proporcionar restricciones de acceso por página, y   casi todos los hacks o parches que prometen agregarlos probablemente tendrán   fallas en algún lugar, lo que podría conducir a la exposición de datos confidenciales. Nosotros   no son responsables de nada que se filtre, lo que lleva a la pérdida de   fondos o el trabajo de uno.

Ahora, un asesor de mi jefe le dice que no hay ningún problema con la información confidencial. Me gustaría saber si tiene razón y me preocupo demasiado.

Supongo que todos los problemas desaparecerían si usaríamos instancias separadas de MediaWiki para cada grupo de usuarios con los mismos derechos. ¿O hay vulnerabilidades conocidas?

Editar (más información sobre los datos):

Los datos contienen información sobre inversiones financieras (por lo que es muy importante para el cliente) que debe estar disponible solo para el personal clave. Y este personal clave bien puede cambiar, por lo que los derechos deben ser revocables. Todavía no puedo estimar el alcance de los datos, pero si el sistema funciona bien, se puede usar mucho.

(Observación: esta pregunta se hizo en Stack Overflow, pero como se consideró fuera de tema allí, la vuelvo a hacer aquí)

    
pregunta Amenti 18.07.2011 - 09:09
fuente

1 respuesta

10

Existe la extensión Control de acceso .
Pero también debe leer los Problemas de seguridad con extensiones de autorización vinculados desde allí.

  

MediaWiki no está diseñado para ser un CMS, o para proteger datos confidenciales. Por el contrario, fue diseñado para ser lo más abierto posible. Por lo tanto, no admite de forma inherente una protección completa y hermética de contenido privado. Pero con el aumento masivo del uso de MediaWiki en las intranets corporativas y el surgimiento de muchas características similares a CMS, está surgiendo la demanda de mayor seguridad.

     

Para ayudar a los autores de extensiones de seguridad, esta lista de las fallas de seguridad encontradas en el campo se mantiene, para que puedan probar su extensión en cada una. Existen varias extensiones que pretenden otorgar acceso de lectura / escritura selectiva a las páginas en Categoría: Extensiones de derechos de usuario específicas de la página , y en la actualidad, la mayoría de estos presentan algunos de los defectos enumerados.

Esperemos que eso te ayude a tomar tus decisiones.

Actualización : Resumen de los comentarios, MediaWiki no es un buen mecanismo para publicar información de acceso limitado.

    
respondido por el nik 18.07.2011 - 09:32
fuente

Lea otras preguntas en las etiquetas