سياسة الموارد الخارجية من الأطراف الثالثة

This page is a translated version of the page Third-party resources policy and the translation is 45% complete.

Outdated translations are marked like this.

This page contains a proposed policy regarding third-party resources. From June 05 to July 17, 2023 the Security team requested feedback on this proposal. Please find the closing notice and expected timeline for a decision regarding this proposal in this section of the talk page. You should not edit the proposed policy page directly.

الغرض

يمكن لمستخدمي ويكيميديا استخدام البرامج النصية للمستخدمين أو الأدوات، أو ورقات الأنماط لتعزيز وظائف موقع ويكيميديا. في بعض الأحيان، تتفاعل تلك الأدوات وتشارك بيانات المستخدم مع موارد الحاسوب التي تقع خارج خوادم ويكيميديا: موارد من جهات خارجية. وقد أدى ذلك في بعض الأحيان إلى تعرض الحسابات للخطر وحدوث مشكلات في الخصوصية. ومع ذلك، فإن شروط استخدام مؤسسة ويكيميديا تحظر انتهاك خصوصية الآخرين،

^[1]^[2] وتؤكد بالإضافة إلى ذلك أن الموارد من جهات خارجية ليست مؤيدة أو مراقبة من قبل المؤسسة.^[3] لغرض توفير خصوصية أفضل لمستخدمي ويكيميديا، يكمل السياسة التالية شروط استخدام المؤسسة من خلال تغطية الجوانب التالية

المخاطر المتعلقة بتحميل الأدوات النصية للمستخدمين والأجهزة التقنية لموارد الأطراف الثالثة
أفضل الممارسات لمطوري النصوص وصناع الأجهزة التقنية
Administrative and technical measures to enforce best practices
Particular conditions that may warrant exemptions

التعريفات

فيما يلي تعريفات ذات صلة بسياسة الجهات الخارجية:

الموارد من جهات خارجية: الموارد من جهات خارجية هي موارد الحاسوب التي توجد خارج مواقع ويكيميديا.^[4] قد تشمل الموارد من جهات خارجية ولكن لا تقتصر على: النصوص القابلة للتنفيذ، أوراق الأنماط، ملفات الصور والخطوط، والبيانات JSON/JSONP.
مستخدمون النهاية: الزوار والمحررين لمواقع ويكيميديا.
المعلومات الشخصية: أي معلومات يتم جمعها بواسطة أداة يمكن استخدامها لتحديد هويتك الشخصية. لمزيد من التعريف التفصيلي، يرجى الاطلاع على سياسة الخصوصية الرئيسية لمؤسسة ويكيميديا. سياسة الخصوصية.

نطاق التغطية

سياسة موارد الأطراف الثالثة الحالية تنطبق على النصوص البرمجية المستخدمة والأدوات المستخدمة التي تتفاعل مع موارد الكمبيوتر الموجودة خارج مواقع ويكيميديا. قد تشمل ذلك نصوص البرامج المستخدمة لتعديل المظهر أو الأدوات المستخدمة للتحرير أو مكافحة التخريب، لذا فإنه مسموح باستخدام تلك الأدوات والنصوص المستخدمة التي تستخدم موارد الأطراف الثالثة. مواقع ويكيميديا

المخاطر

أمن المعلومات

عندما تقوم أداة أو نص برمجي للمستخدم بتحميل مورد جهة خارجية ، فإنها تمكن هذا المورد من الوقوف بين موقع ويكيميديا وبيانات المستخدم. في حين أن جميع موارد الجهات الخارجية ليست ضارة ، يمكن استخدام بعضها من قبل مالكيها لمجموعة واسعة من الأغراض الشائنة. على سبيل المثال ، يمكن أن يكون تحميل موارد الجهات الخارجية بمثابة وسيلة جزئية لهجوم البرمجة النصية عبر المواقع (XSS) ، حيث يمكن للمورد الجاري تحميله ، من بين أشياء أخرى ، جمع معلومات تسجيل الدخول وانتحال شخصية حساب المستخدم وأداء التخريب على نطاق واسع. يمكن أن يكون هذا ضارًا بشكل خاص للمستخدمين ذوي الحقوق المتقدمة مثل المسؤولين. لقد شاهد فريق الأمن التابع للمؤسسة أمثلة واقعية لهذا النوع من الهجمات. أيضًا ، نظرًا لعدم سيطرة مؤسسة ويكيميديا على تلك المنصات الخارجية ، يمكن الكشف عن المعلومات الشخصية التي يجمعونها عن غير قصد ، أو تسليمها طواعية إلى السلطات الحكومية ، أو مشاركتها مع أطراف ثالثة خارج سيطرة المستخدم أو المؤسسة.

خاصية الخصوصية والسلامة للمستخدم

الجهاز أو النص الخاص بالمستخدم الذي يحمل موارد من جهات خارجية يقوم بأكثر من مجرد الاتصال بتلك الموارد. قد تقوم الأجهزة أو النصوص المستخدمة التي تتصل بموارد من جهات خارجية أيضًا بمشاركة معلومات حول المستخدمين النهائيين، بما في ذلك الجهاز الذي يستخدمونه ومعلومات المتصفح والموقع. وهذا ما يثير قلقًا خاصًا بالنسبة للأجهزة التي يتم تمكينها بشكل افتراضي في بعض مشاريع ويكيميديا، حيث يمكن أن تكون عملية مشاركة البيانات غير ملحوظة. بالإضافة إلى ذلك، إذا كانت المورد الخارجي يحتوي على ميزات التتبع، فإن أي أجهزة أو نصوص تقوم بتحميله يمكن أن تؤدي إلى تفحص سلوك المستخدمين النهائيين دون إرادتهم أو بدون موافقتهم، واستخدامه لأغراض التسويق أو المراقبة أو أغراض غير مرغوب فيها أخرى

الاحتياطات المطلوبة

تجنب تحميل الموارد الخارجية

يجب ألا تُحمّل الأجهزة ونصوص المستخدمين موارد من جهات خارجية. يجب على مطوري هذه الأدوات مراجعة الشفرة الخاصة بهم للتأكد من عدم تضمين أي اتصال بالشبكة البعيدة (مثل HTTP و WebSocket) إلى موارد من جهة خارجية.

النظر في سكربتات بديلة

إذا كان ذلك ممكنًا، يمكن لمطوري الأدوات وصانعي السكربتات إعادة استخدام الموارد المتاحة بالفعل على خوادم ويكيميديا. بشكل افتراضي، يأتي MediaWiki مع عدد من السكربتات أو الوحدات النصية. قبل النظر في الموارد الخارجية، يمكن للمطورين استكشاف ما إذا كانت هناك وحدات سكربت في MediaWiki أو نصوص مستخدمة في المجتمع يمكن أن تحقق نفس الهدف.

من خلال إعادة استخدام السكربتات المتاحة في المجتمع أو تحسينها، يمكن تحقيق نفس الغرض بدون الحاجة إلى الموارد الخارجية. وفي نفس الوقت، من الممارسات الجيدة اتباع الإرشادات العامة بشأن تطوير الأدوات والتطبيقات الفرعية، وذلك فيما يتعلق بنقاط الألم مثل معالجة الأخطاء وصيانة الشفرة.

Exemptions

Opt-in exemption granted by users

By default, gadgets and userscripts are not allowed to load non-production resources. However, users can authorize some gadgets and userscripts to load third-parties. In this case, users must opt-in — give their informed consent before using those specific gadgets and userscripts. While it is expected that users must express their consent through a flow similar to OAuth authorization, the practical implementation of this opt-in mechanism is purposely not written in detail in this policy. Instead, the opt-in exemption principle is referenced here to support the practical implementation once it is in place.^[5]

Additional transparency requirements

Although users' consent is required, a third-party resource must also meet a number of transparency conditions before being embedded in gadgets and userscripts. To be exempted, an external resource must:

Have its source code public and referenced at Third-party resources policy/Noticeboard, alongside an up-to-date description of the personal information processed, and a point of contact for raising issues. This will help ensure public scrutiny and some auditability of the resource.
If the third-party resource is hosted on Wikimedia Cloud Services code, its code should comply with WMCS terms of use. Also, its code must be inspectable — the WMCS resource developer must ensure that the code hosted on WMCS is human-readable, except for configuration files containing credentials. This will ensure that automated code scanning and other auditing mechanisms can be carried out for better security and privacy.

Enforcement

If the use of third-party resources results in the violation of this policy, two sets of actions can help safeguard the privacy of end-users: manual removal and automated disabling.

Manual removal

Manual removal involves a direct intervention by Wikimedia users.

If you hold sufficient permissions and come across a gadget or user script which violates this policy, you can proceed in blanking the page and notify its author with a message on their talk page. If you are unsure whether you should remove the gadget or user script, please report it to an Administrator or Steward or send an email to the Foundation’s Security team (security-team[at]wikimedia.org).

Automated disabling through CSP

Automated disabling involves disabling at the software or server level with no direct human intervention. In the current policy, automated disabling takes the form of Content Security Policy (CSP). CSP is a layer of security within the MediaWiki software which can prevent the loading of third-party resources. Currently, this feature does not block any third-party resources but is only enabled in report-only mode on some wikimedia projects.^[6]However, there are ongoing discussions to set CSP to enforce on all Wikimedia projects at some point in the future. Once it is in effect, CSP will also enforce this policy and bar user scripts and gadgets from loading third-party resources in production, unless those are covered by this policy's exemptions.

↑ المادة 4 من شروط استخدام المؤسسة، https://foundation.wikimedia.org/wiki/Terms_of_Use/en#4._Refraining_from_Certain_Activities ↑ سياسة الخصوصية لمؤسسة ويكيميديا لا تغطي كيفية التعامل من قبل الأطراف الثالثة مع المعلومات التي يتلقونها. يرجى الاطلاع على القسم ما يتم تغطيته وما لا يتم تغطيته في سياسة الخصوصية. ↑ المادة 9 من شروط الاستخدام لمؤسسة ويكيميديا, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#9._Third-party_Websites_and_Resources ↑ The term "production" has traditionally been used to identify core projects, technical sites, Foundation websites, and a number of Wikimedia community sites. See القائمة الكاملة لمشاريع ويكيميديا. ↑ It is worth noting that an opt-in exemption based on CSP was proposed in the past, see https://phabricator.wikimedia.org/T208188 ↑ MediaWiki's CSP is enabled in report-only mode for group0 wikis, outreachwiki and small wikis. It doesn't block any external resources anywhere EXCEPT for the CentralNotice banner previews

[1] المادة 4 من شروط استخدام المؤسسة، https://foundation.wikimedia.org/wiki/Terms_of_Use/en#4._Refraining_from_Certain_Activities

[2] سياسة الخصوصية لمؤسسة ويكيميديا لا تغطي كيفية التعامل من قبل الأطراف الثالثة مع المعلومات التي يتلقونها. يرجى الاطلاع على القسم ما يتم تغطيته وما لا يتم تغطيته في سياسة الخصوصية.

[3] المادة 9 من شروط الاستخدام لمؤسسة ويكيميديا, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#9._Third-party_Websites_and_Resources

[4] The term "production" has traditionally been used to identify core projects, technical sites, Foundation websites, and a number of Wikimedia community sites. See القائمة الكاملة لمشاريع ويكيميديا.

[5] It is worth noting that an opt-in exemption based on CSP was proposed in the past, see https://phabricator.wikimedia.org/T208188

[6] MediaWiki's CSP is enabled in report-only mode for group0 wikis, outreachwiki and small wikis. It doesn't block any external resources anywhere EXCEPT for the CentralNotice banner previews

[1]

[2]

[3]

[4]

[5]

[6]