Anwender mit XSS-relevanten Rechten
Bestimmte Berechtigungen erlauben Benutzern nicht überprüfte Dateien und HTML-Code mit JavaScript hinzuzufügen. Das kann für Cross-Site-Scripting (XSS) Angriffe missbraucht werden und kann dazu führen, dass der Angreifer vollen Administrator-Zugriff hat. Die betreffenden Berechtigungen sind nur für Administratoren und Lehrkräfte vorgesehen.
Stellen Sie sicher, dass Sie allen Personen auf der Liste XSS-vertrauenswürdiger Nutzer vertrauen können.
Einige Rich-Media-Inhalte, z.B. eingebettete Flash-Applets od. JavaScript, den Lehrkräfte benutzen um die Funktionalität ihrer Kursräume anzureichern benutzen genau die gleichen Technologien die Angreifer für Cross-Site-Scripting-Angriffe nutzen.
Unter ausschließlicher Betrachtung von Sicherheitsaspekten würden Sie diese Berechtigungen nicht vergeben. Da das Einsatzgebiet von Moodle aber Ausbildung ist, müssen gelegentlich Kompromisse geschlossen werden. Historisch war der Kompromiss bei Moodle so gestaltet, dass Lehrkräfte, Kursersteller und Administratoren vertraut wurde und dieser Personenkreis deshalb komplexeren aber eben auch potentiell gefährlichen Inhalt bereitstellen konnten. Schüler bzw. Studenten und Gästen wurde nicht vertraut und jegliches Material dieser Personen wurde von riskanten Inhalten befreit.
Durch die konfigurierbaren Rollen in aktuellen Moodleversionen ist das Thema komplizierter geworden. Es kann nun nämlich neben den obigen Rollen auch weitere Rollen mit diesen riskanten Berechtigungen geben bzw. es können auch die betreffenden Berechtigungen in den Standard-Rollen verändert werden. Aus diesem Grund gibt es die "Risiken"-Spalte mit Sicherheits-Hinweisen auf der rechten Seite der Rollendetails. Damit sind Sie bei Rechte-Änderungen an einer Rolle in der Lage die Konsequenzen Ihres Tuns abzuschätzen.
Siehe auch
- Using Moodle Security and Privacy forum (Englisch)
- Cross-Site Scripting bei deutscher Wikipedia