Hinweis: Sie sind auf den Seiten der Moodle 1.9 Dokumentation. Die Dokumentation der aktuellsten Moodle-Version finden Sie hier: Moodle 1.8.11 Versionsinformationen.

Moodle 1.8.11 Versionsinformationen: Unterschied zwischen den Versionen

Aus MoodleDocs
Wechseln zu:Navigation, Suche
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Veröffentlicht: noch nicht veröffentlicht
Veröffentlicht: 25. November 2009


===Sicherheit===
Hier finden Sie eine [http://tracker.moodle.org/browse/MDL/fixforversion/10383 vollständige Liste der Bugfixes für Moodle 1.8.11].
 
===Funktionale Änderungen===


Diese Moodle-Version enthält eine Menge von Bugfixes, die Datensicherheit und Datenschutz von Kennwörtern in Kurssicherungsdateien betreffen (MDL-20851).  
*[[Website-Rechte#Kennwortregeln|Kennwortregeln]] werden bei Neuinstallationen bzw. Aktualisierungen auf Moodle 1.9.7 standardmäßig aktiviert, um die Nutzer zu zwingen, starke Kennwörter zu verwenden. Die Standardpolicy verlangt, dass Kennwörter aus mindestens 8 Zeichen bestehen müssen, davon mindestens eine Ziffer, ein Kleinbuchstabe, ein Großbuchstabe und ein Sonderzeichen.
*Nach der Aktualisierung auf Moodle 1.8.11 werden Moodle-Administratoren aufgefordert, ihr Kennwort zu ändern, sobald sie sich das nächste Mal anmelden. (gilt nur für manuell oder per E-Mail-Selbstregistrierung angelegte Nutzerkonten).
*Es wurde eine [[Kennwortverschlüsselung (Salt)]] in der [[Konfigurationsdatei]] ''config.php'' eingeführt, um das Risiko des Kennwortdiebstahls zu reduzieren.
*Trainer verlieren das Recht, Nutzerdaten in der [[Kurssicherung]] zu speichern bzw. Kurse mit Nutzerdaten [[Kurswiederherstellung|wiederherzustellen]]. Gesteuert wird diese neue Funktionalität über die Fähigkeiten [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] und [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]].
*Hashwerte von Nutzerklennwörtern werden nicht mehr in Kurssicherungsdateien mit Nutzerdaten gespeichert. Wenn eine Kurssicherungsdatei auf einer neuen Moodle-Installation wiederhergestellt wird, werden Nutzer aufgefordert, ihr Kennwort neu zu setzen (beim erstmaligen Login). Sie durchlaufen dann die Prozedur für [[Module für die Authentifizierung verwalten#URL für vergessene Passwörter|vergessene Passwörter]].


* MDL-20838 - Hash-Werte von Nutzerkennwörtern werden nicht mehr in den Kurssicherungsdateien gespeichert (bei Kurssicherung mit Nutzerdaten)
===Sicherheit===
:Wenn es jemand tatsächlich benötigt, dass die Kennwörter gespeichert werden sollen (z.B. in dem seltenen Fall der Wiederherstellung einer Kurssicherung auf einer anderen Moodle-Installation), kann der Eintrag <code>$CFG->includeuserpasswordsinbackups</code> in der [[Konfigurationsdatei]] ''config.php'' hinzugefügt werden.
* MDL-20846 - Die [[Kurswiederherstellung]] wurde so angepasst, dass sie mit fehlenden Hash-Werten von Kennwörtern in Kurssicherungsdateien umgehen kann, die Daten von neuen Nutzern enthalten. In diesem Fall wird das Kennwort der neuen Nutzer auf einen Wert gesetzt, der ein [[Anmelden]] verhindert. Wenn der neue Nutzer versucht, sich anzumelden, erscheint eine Erklärung des Vorgangs, und es wird der Standardprozess für vergessene Kennwörter angestoßen.
* MDL-18807 - Um das Risiko des Kennwortdiebstahls zu senken, wurde ein Salt zur [[Kennwortverschlüsselung (Salt)|Kennwortverschlüsselung]] in die [[Konfigurationsdatei]] ''config.php'' eingefügt. Bei der Installation von Moodle 1.9.7 und bei Aktualisierungen erscheint eine Mitteilung mit der dringenden Empfehlung, einen Salt zur Kennwortverschlüsselung zu setzen. Außerdem zeigt der [[Sicherheitsbericht]] eine Warnung, wenn kein Salt gesetzt ist.
* MDL-20834 - Eine neue Fähigkeit [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] erlaubt es der Moodle-Administration festzulegen, ob ein Trainer Nutzerdaten in der Kurssicherung speichern darf. Standardmäßig darf nur der Moodle-Administrator Nutzerdaten in der Kurssicherung speichern. Der [[Sicherheitsbericht]] zeigt eine Warnung, falls diese Fähigkeit für eine Rolle auf ''erlauben'' gesetzt ist.
* MDL-20853 - Um Moodle-Installationen vor alten Kurssicherungen zu schützen, wird der Moodle-Administrator bei der Aktualisierung auf Moodle 1.9.7 aufgefordert, sein Kennwort neu zu setzen.
* MDL-9251 - Die Option, [[Kurssicherung|einen Kurs mit allen Nutzerdaten der Moodle-Installation zu sichern]], ist nur für Nutzer möglich, bei denen die Fähigkeit [[Capabilities/moodle/site:backup|moodle/site:backup]] im System-Kontext auf ''erlauben'' gesetzt ist. Analog können nur Nutzer einen [[Kurswiederherstellung|einen Kurs mit allen Nutzerdaten der Moodle-Installation wiederherstellen]], bei denen die Fähigkeit [[Capabilities/moodle/site:restore|moodle/site:restore]] im System-Kontext auf ''erlauben'' gesetzt ist.
---


Weitere Punkte werden demnächst veröffentlicht.
'''Wichtig: Eine Aktualisierung auf Moodle 1.8.11 wird dringend empfohlen!'''


Punkte aus Moodle 1.9.7:
*Kennwörter werden nicht länger in Kurssicherungsdateien gespeichert.
* MDL-20844 - Zugangsschlüssel für Kurse und Gruppen werden nicht mehr in der Kurssicherungsdatei gespeichert, solange kein Eintrag <code>$CFG->includecoursepasswordsinbackups</code> in der [[Konfigurationsdatei]] ''config.php'' hinzugefügt wird. Stattdessen wird in der Kurssicherungsdatei markiert, dass es mal einen Zugangsschlüssel gegeben hat.  
*Neue Fähigkeiten [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] und [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] ermöglichen die Kontrolle darüber, wer Nutzerdaten sichern bzw. wiederherstellen darf.
* MDL-20866 - Die [[Kurswiederherstellung]] wurde so angepasst, dass sie mit fehlenden Zugangsschlüsseln für Kurse bzw. Gruppen in Kurssicherungsdateien umgehen kann. Der Nutzer wird bei der Wiederherstellung informiert und aufgefordert, neue Zugangsschlüssel einzugeben.
*Strenge [[Website-Rechte#Kennwortregeln|Kennwortregeln]] werden standardmäßig aktiviert.
* MDL-20849 - Eine neue Fähigkeit [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] ermöglicht es, dass Trainer Nutzerdaten aus Kurssicherungsdateien wiederherstellen können (inklusive Anlegen neuer Nutzerkonten, falls es sich um Daten neuer Nutzer handelt). Standardmäßig ist dies für Trainer nicht erlaubt.
*[[Kennwortverschlüsselung (Salt)]] in der [[Konfigurationsdatei]] ''config.php'' wird dringend empfohlen.
* MDL-20854 - Es wurde ein Skript bereitgestellt, um gespeicherte Kennwörter bzw. deren Hashwerte aus bestehenden (alten) Kurssicherungsdateien im [[Moodle-Datenverzeichnis]] zu löschen.  
*Administratoren werden angehalten, ihr Kennwort nach der Aktualisierung zu ändern.
* MDL-18006 - Zur Verbesserung der Kennwortsicherheit und Verringerung des Risikos von MD5 Hashlookups werden die [[Website-Rechte#Kennwortregeln|Kennwortregeln]] standardmäßig aktiviert (sowohl bei Neuinstallationen als auch bei Aktualisierungen auf Moodle 1.9.7).  
*Unnötige MD5 Hashwerte wurden in der Nutzertabelle der [[Moodle-Datenbank]] gelöscht.
* MDL-19608 - Um es der Moodle-Administration zu erleichtern, die Nutzer zur Änderung ihres Kennworts zu zwingen, wurde eine Option zur Kennwortänderung unter ''Website-Administration > Nutzer/innen > [[Nutzer hochladen]]'' eingefügt.
*Fehlerhafter Zugriff von Anwendungen über die MNET-Schnittestelle behoben
*Verschiedene CSRF-Probleme ([http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery Cross-Site Request Forgery - Site-übergreifende Aufrufmanipulation) behoben
*Sicherheitskritische Offenlegung von Nutzerdaten in der Lernaktivität [[LAMS]] beseitigt
*Mangelhafte Zugriffskontrolle in der Lernaktivität [[Glossar]] beseitigt
*Vertrauenswürdige Login-Informationen wird sicher übertragen bei SSL-Login.
*Möglichkeit einer SQL-Injektion in der Lernaktivität [[Lernpaket (SCORM)]] beseitigt


<noinclude>
<noinclude>

Version vom 27. November 2009, 07:49 Uhr

Veröffentlicht: 25. November 2009

Hier finden Sie eine vollständige Liste der Bugfixes für Moodle 1.8.11.

Funktionale Änderungen

  • Kennwortregeln werden bei Neuinstallationen bzw. Aktualisierungen auf Moodle 1.9.7 standardmäßig aktiviert, um die Nutzer zu zwingen, starke Kennwörter zu verwenden. Die Standardpolicy verlangt, dass Kennwörter aus mindestens 8 Zeichen bestehen müssen, davon mindestens eine Ziffer, ein Kleinbuchstabe, ein Großbuchstabe und ein Sonderzeichen.
  • Nach der Aktualisierung auf Moodle 1.8.11 werden Moodle-Administratoren aufgefordert, ihr Kennwort zu ändern, sobald sie sich das nächste Mal anmelden. (gilt nur für manuell oder per E-Mail-Selbstregistrierung angelegte Nutzerkonten).
  • Es wurde eine Kennwortverschlüsselung (Salt) in der Konfigurationsdatei config.php eingeführt, um das Risiko des Kennwortdiebstahls zu reduzieren.
  • Trainer verlieren das Recht, Nutzerdaten in der Kurssicherung zu speichern bzw. Kurse mit Nutzerdaten wiederherzustellen. Gesteuert wird diese neue Funktionalität über die Fähigkeiten moodle/backup:userinfo und moodle/restore:userinfo.
  • Hashwerte von Nutzerklennwörtern werden nicht mehr in Kurssicherungsdateien mit Nutzerdaten gespeichert. Wenn eine Kurssicherungsdatei auf einer neuen Moodle-Installation wiederhergestellt wird, werden Nutzer aufgefordert, ihr Kennwort neu zu setzen (beim erstmaligen Login). Sie durchlaufen dann die Prozedur für vergessene Passwörter.

Sicherheit

Wichtig: Eine Aktualisierung auf Moodle 1.8.11 wird dringend empfohlen!

  • Kennwörter werden nicht länger in Kurssicherungsdateien gespeichert.
  • Neue Fähigkeiten moodle/backup:userinfo und moodle/restore:userinfo ermöglichen die Kontrolle darüber, wer Nutzerdaten sichern bzw. wiederherstellen darf.
  • Strenge Kennwortregeln werden standardmäßig aktiviert.
  • Kennwortverschlüsselung (Salt) in der Konfigurationsdatei config.php wird dringend empfohlen.
  • Administratoren werden angehalten, ihr Kennwort nach der Aktualisierung zu ändern.
  • Unnötige MD5 Hashwerte wurden in der Nutzertabelle der Moodle-Datenbank gelöscht.
  • Fehlerhafter Zugriff von Anwendungen über die MNET-Schnittestelle behoben
  • Verschiedene CSRF-Probleme ([http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery Cross-Site Request Forgery - Site-übergreifende Aufrufmanipulation) behoben
  • Sicherheitskritische Offenlegung von Nutzerdaten in der Lernaktivität LAMS beseitigt
  • Mangelhafte Zugriffskontrolle in der Lernaktivität Glossar beseitigt
  • Vertrauenswürdige Login-Informationen wird sicher übertragen bei SSL-Login.
  • Möglichkeit einer SQL-Injektion in der Lernaktivität Lernpaket (SCORM) beseitigt
Abgerufen von „https://docs.moodle.org/19/de/index.php?title=Moodle_1.8.11_Versionsinformationen&oldid=10600
Powered by MediaWiki