Moodle 1.8.11 Versionsinformationen: Unterschied zwischen den Versionen
Aus MoodleDocs
(w7) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
Veröffentlicht: noch nicht veröffentlicht | |||
===Sicherheit=== | |||
Diese Moodle-Version enthält eine Menge von Bugfixes, die Datensicherheit und Datenschutz von Kennwörtern in Kurssicherungsdateien betreffen (MDL-20851). | |||
* MDL-20838 - Hash-Werte von Nutzerkennwörtern werden nicht mehr in den Kurssicherungsdateien gespeichert (bei Kurssicherung mit Nutzerdaten) | |||
:Wenn es jemand tatsächlich benötigt, dass die Kennwörter gespeichert werden sollen (z.B. in dem seltenen Fall der Wiederherstellung einer Kurssicherung auf einer anderen Moodle-Installation), kann der Eintrag <code>$CFG->includeuserpasswordsinbackups</code> in der [[Konfigurationsdatei]] ''config.php'' hinzugefügt werden. | |||
* MDL-20846 - Die [[Kurswiederherstellung]] wurde so angepasst, dass sie mit fehlenden Hash-Werten von Kennwörtern in Kurssicherungsdateien umgehen kann, die Daten von neuen Nutzern enthalten. In diesem Fall wird das Kennwort der neuen Nutzer auf einen Wert gesetzt, der ein [[Anmelden]] verhindert. Wenn der neue Nutzer versucht, sich anzumelden, erscheint eine Erklärung des Vorgangs, und es wird der Standardprozess für vergessene Kennwörter angestoßen. | |||
* MDL-18807 - Um das Risiko des Kennwortdiebstahls zu senken, wurde ein Salt zur [[Kennwortverschlüsselung (Salt)|Kennwortverschlüsselung]] in die [[Konfigurationsdatei]] ''config.php'' eingefügt. Bei der Installation von Moodle 1.9.7 und bei Aktualisierungen erscheint eine Mitteilung mit der dringenden Empfehlung, einen Salt zur Kennwortverschlüsselung zu setzen. Außerdem zeigt der [[Sicherheitsbericht]] eine Warnung, wenn kein Salt gesetzt ist. | |||
* MDL-20834 - Eine neue Fähigkeit [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] erlaubt es der Moodle-Administration festzulegen, ob ein Trainer Nutzerdaten in der Kurssicherung speichern darf. Standardmäßig darf nur der Moodle-Administrator Nutzerdaten in der Kurssicherung speichern. Der [[Sicherheitsbericht]] zeigt eine Warnung, falls diese Fähigkeit für eine Rolle auf ''erlauben'' gesetzt ist. | |||
* MDL-20853 - Um Moodle-Installationen vor alten Kurssicherungen zu schützen, wird der Moodle-Adminsitrator bei der Aktualisierung auf Moodle 1.9.7 aufgefordert, sein Kennwort neu zu setzen. | |||
--- | |||
Weitere Punkte werden demnächst veröffentlicht. | |||
Punkte aus Moodle 1.9.7: | |||
* MDL-20844 - Zugangsschlüssel für Kurse und Gruppen werden nicht mehr in der Kurssicherungsdatei gespeichert, solange kein Eintrag <code>$CFG->includecoursepasswordsinbackups</code> in der [[Konfigurationsdatei]] ''config.php'' hinzugefügt wird. Stattdessen wird in der Kurssicherungsdatei markiert, dass es mal einen Zugangsschlüssel gegeben hat. | |||
* MDL-20866 - Die [[Kurswiederherstellung]] wurde so angepasst, dass sie mit fehlenden Zugangsschlüsseln für Kurse bzw. Gruppen in Kurssicherungsdateien umgehen kann. Der Nutzer wird bei der Wiederherstellung informiert und aufgefordert, neue Zugangsschlüssel einzugeben. | |||
* MDL-20849 - Eine neue Fähigkeit [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] ermöglicht es, dass Trainer Nutzerdaten aus Kurssicherungsdateien wiederherstellen können (inklusive Anlegen neuer Nutzerkonten, falls es sich um Daten neuer Nutzer handelt). Standardmäßig ist dies für Trainer nicht erlaubt. | |||
* MDL-20854 - Es wurde ein Skript bereitgestellt, um gespeicherte Kennwörter bzw. deren Hashwerte aus bestehenden (alten) Kurssicherungsdateien im [[Moodle-Datenverzeichnis]] zu löschen. | |||
* MDL-18006 - Zur Verbesserung der Kennwortsicherheit und Verringerung des Risikos von MD5 Hashlookups werden die [[Website-Rechte#Kennwortregeln|Kennwortregeln]] standardmäßig aktiviert (sowohl bei Neuinstallationen als auch bei Aktuialisierungen auf Moodle 1.9.7). | |||
* MDL-19608 - Um es der Moodle-Administration zu erleichtern, die Nutzer zur Änderung ihres Kennworts zu zwingen, wurde eine Option zur Kennwortänderung unter ''Website-Administration > Nutzer/innen > [[Nutzer hochladen]]'' eingefügt. | |||
<noinclude> | |||
[[Category:Moodle 1.8]] | |||
[[Category:Versionen]] | |||
[[en:Moodle 1.8.11 release notes]] | |||
</noinclude> | |||
Version vom 20. November 2009, 13:00 Uhr
Veröffentlicht: noch nicht veröffentlicht
Sicherheit
Diese Moodle-Version enthält eine Menge von Bugfixes, die Datensicherheit und Datenschutz von Kennwörtern in Kurssicherungsdateien betreffen (MDL-20851).
- MDL-20838 - Hash-Werte von Nutzerkennwörtern werden nicht mehr in den Kurssicherungsdateien gespeichert (bei Kurssicherung mit Nutzerdaten)
- Wenn es jemand tatsächlich benötigt, dass die Kennwörter gespeichert werden sollen (z.B. in dem seltenen Fall der Wiederherstellung einer Kurssicherung auf einer anderen Moodle-Installation), kann der Eintrag
$CFG->includeuserpasswordsinbackupsin der Konfigurationsdatei config.php hinzugefügt werden.
- MDL-20846 - Die Kurswiederherstellung wurde so angepasst, dass sie mit fehlenden Hash-Werten von Kennwörtern in Kurssicherungsdateien umgehen kann, die Daten von neuen Nutzern enthalten. In diesem Fall wird das Kennwort der neuen Nutzer auf einen Wert gesetzt, der ein Anmelden verhindert. Wenn der neue Nutzer versucht, sich anzumelden, erscheint eine Erklärung des Vorgangs, und es wird der Standardprozess für vergessene Kennwörter angestoßen.
- MDL-18807 - Um das Risiko des Kennwortdiebstahls zu senken, wurde ein Salt zur Kennwortverschlüsselung in die Konfigurationsdatei config.php eingefügt. Bei der Installation von Moodle 1.9.7 und bei Aktualisierungen erscheint eine Mitteilung mit der dringenden Empfehlung, einen Salt zur Kennwortverschlüsselung zu setzen. Außerdem zeigt der Sicherheitsbericht eine Warnung, wenn kein Salt gesetzt ist.
- MDL-20834 - Eine neue Fähigkeit moodle/backup:userinfo erlaubt es der Moodle-Administration festzulegen, ob ein Trainer Nutzerdaten in der Kurssicherung speichern darf. Standardmäßig darf nur der Moodle-Administrator Nutzerdaten in der Kurssicherung speichern. Der Sicherheitsbericht zeigt eine Warnung, falls diese Fähigkeit für eine Rolle auf erlauben gesetzt ist.
- MDL-20853 - Um Moodle-Installationen vor alten Kurssicherungen zu schützen, wird der Moodle-Adminsitrator bei der Aktualisierung auf Moodle 1.9.7 aufgefordert, sein Kennwort neu zu setzen.
--- Weitere Punkte werden demnächst veröffentlicht.
Punkte aus Moodle 1.9.7:
- MDL-20844 - Zugangsschlüssel für Kurse und Gruppen werden nicht mehr in der Kurssicherungsdatei gespeichert, solange kein Eintrag
$CFG->includecoursepasswordsinbackupsin der Konfigurationsdatei config.php hinzugefügt wird. Stattdessen wird in der Kurssicherungsdatei markiert, dass es mal einen Zugangsschlüssel gegeben hat. - MDL-20866 - Die Kurswiederherstellung wurde so angepasst, dass sie mit fehlenden Zugangsschlüsseln für Kurse bzw. Gruppen in Kurssicherungsdateien umgehen kann. Der Nutzer wird bei der Wiederherstellung informiert und aufgefordert, neue Zugangsschlüssel einzugeben.
- MDL-20849 - Eine neue Fähigkeit moodle/restore:userinfo ermöglicht es, dass Trainer Nutzerdaten aus Kurssicherungsdateien wiederherstellen können (inklusive Anlegen neuer Nutzerkonten, falls es sich um Daten neuer Nutzer handelt). Standardmäßig ist dies für Trainer nicht erlaubt.
- MDL-20854 - Es wurde ein Skript bereitgestellt, um gespeicherte Kennwörter bzw. deren Hashwerte aus bestehenden (alten) Kurssicherungsdateien im Moodle-Datenverzeichnis zu löschen.
- MDL-18006 - Zur Verbesserung der Kennwortsicherheit und Verringerung des Risikos von MD5 Hashlookups werden die Kennwortregeln standardmäßig aktiviert (sowohl bei Neuinstallationen als auch bei Aktuialisierungen auf Moodle 1.9.7).
- MDL-19608 - Um es der Moodle-Administration zu erleichtern, die Nutzer zur Änderung ihres Kennworts zu zwingen, wurde eine Option zur Kennwortänderung unter Website-Administration > Nutzer/innen > Nutzer hochladen eingefügt.
