Veröffentlicht: 25. November 2009

Highlights

• MDL-20591 - IMS Common Cartridge Import (erfordert Aktivierung unter Website-Administration > Verschiedenes > Experimentell)
• MDL-13049 - Lernaktivität Workshop übermittelt Bewertungen an die zentrale Bewertungsübersicht im Kurs
• Verschiedene Bugfixes in der Implementierung der Lernaktivität Workshop (MDL-20668, MDL-7218, MDL-20827)

Funktionale Änderungen

• Kennwortregeln werden bei Neuinstallationen bzw. Aktualisierungen auf Moodle 1.9.7 standardmäßig aktiviert, um die Nutzer zu zwingen, starke Kennwörter zu verwenden. Die Standardpolicy verlangt, dass Kennwörter aus mindestens 8 Zeichen bestehen müssen, davon mindestens eine Ziffer, ein Kleinbuchstabe, ein Großbuchstabe und ein Sonderzeichen.
• Nach der Aktualisierung auf Moodle 1.9.7 werden Moodle-Administratoren aufgefordert, ihr Kennwort zu ändern, sobald sie sich das nächste Mal anmelden. (gilt nur für manuell oder per E-Mail-Selbstregistrierung angelegte Nutzerkonten).
• Es wurde eine Kennwortverschlüsselung (Salt) in der Konfigurationsdatei config.php eingeführt, um das Risiko des Kennwortdiebstahls zu reduzieren.
• Trainer verlieren das Recht, Nutzerdaten in der Kurssicherung zu speichern bzw. Kurse mit Nutzerdaten wiederherzustellen. Gesteuert wird diese neue Funktionalität über die Fähigkeiten moodle/site:backup und moodle/site:restore.
• Hashwerte von Nutzerklennwörtern werden nicht mehr in Kurssicherungsdateien mit Nutzerdaten gespeichert. Wenn eine Kurssicherungsdatei auf einer neuen Moodle-Installation wiederhergestellt wird, werden Nutzer aufgefordert, ihr Kennwort neu zu setzen (beim erstmaligen Login). Sie durchlaufen dann die Prozedur für vergessene Passwörter.
• Moodle stellt keine Flashdateien mehr für Browser bereit, die veraltete Flash-Plugins verwenden. Administratoren können die mindestens geforderte Flash-Player-Version unter Website-Administration > Sicherheit > HTTP-Sicherheit festlegen.

Sicherheit

Diese Moodle-Version enthält eine Menge von Bugfixes, die Datensicherheit und Datenschutz von Kennwörtern in Kurssicherungsdateien betreffen (MDL-20851).

• MDL-20838 - Hash-Werte von Nutzerkennwörtern werden nicht mehr in den Kurssicherungsdateien gespeichert (bei Kurssicherung mit Nutzerdaten)

Wenn es jemand tatsächlich benötigt, dass die Kennwörter gespeichert werden sollen (z.B. in dem seltenen Fall der Wiederherstellung einer Kurssicherung auf einer anderen Moodle-Installation), kann der Eintrag $CFG->includeuserpasswordsinbackups in der Konfigurationsdatei config.php hinzugefügt werden.

• MDL-20846 - Die Kurswiederherstellung wurde so angepasst, dass sie mit fehlenden Hash-Werten von Kennwörtern in Kurssicherungsdateien umgehen kann, die Daten von neuen Nutzern enthalten. In diesem Fall wird das Kennwort der neuen Nutzer auf einen Wert gesetzt, der ein Anmelden verhindert. Wenn der neue Nutzer versucht, sich anzumelden, erscheint eine Erklärung des Vorgangs, und es wird der Standardprozess für vergessene Kennwörter angestoßen.
• MDL-20844 - Zugangsschlüssel für Kurse und Gruppen werden nicht mehr in der Kurssicherungsdatei gespeichert, solange kein Eintrag $CFG->includecoursepasswordsinbackups in der Konfigurationsdatei config.php hinzugefügt wird. Stattdessen wird in der Kurssicherungsdatei markiert, dass es mal einen Zugangsschlüssel gegeben hat.
• MDL-20866 - Die Kurswiederherstellung wurde so angepasst, dass sie mit fehlenden Zugangsschlüsseln für Kurse bzw. Gruppen in Kurssicherungsdateien umgehen kann. Der Nutzer wird bei der Wiederherstellung informiert und aufgefordert, neue Zugangsschlüssel einzugeben.
• MDL-18807 - Um das Risiko des Kennwortdiebstahls zu senken, wurde ein Salt zur Kennwortverschlüsselung in die Konfigurationsdatei config.php eingefügt. Bei der Installation von Moodle 1.9.7 und bei Aktualisierungen erscheint eine Mitteilung mit der dringenden Empfehlung, einen Salt zur Kennwortverschlüsselung zu setzen. Außerdem zeigt der Sicherheitsbericht eine Warnung, wenn kein Salt gesetzt ist.
• MDL-20834 - Eine neue Fähigkeit moodle/backup:userinfo erlaubt es der Moodle-Administration festzulegen, ob ein Trainer Nutzerdaten in der Kurssicherung speichern darf. Standardmäßig darf nur der Moodle-Administrator Nutzerdaten in der Kurssicherung speichern. Der Sicherheitsbericht zeigt eine Warnung, falls diese Fähigkeit für eine Rolle auf erlauben gesetzt ist.
• MDL-20849 - Eine neue Fähigkeit moodle/restore:userinfo ermöglicht es, dass Trainer Nutzerdaten aus Kurssicherungsdateien wiederherstellen können (inklusive Anlegen neuer Nutzerkonten, falls es sich um Daten neuer Nutzer handelt). Standardmäßig ist dies für Trainer nicht erlaubt.
• MDL-20854 - Es wurde ein Skript bereitgestellt, um gespeicherte Kennwörter bzw. deren Hashwerte aus bestehenden (alten) Kurssicherungsdateien im Moodle-Datenverzeichnis zu löschen.
• MDL-18006 - Zur Verbesserung der Kennwortsicherheit und Verringerung des Risikos von MD5 Hashlookups werden die Kennwortregeln standardmäßig aktiviert (sowohl bei Neuinstallationen als auch bei Aktualisierungen auf Moodle 1.9.7).
• MDL-20853 - Um Moodle-Installationen vor alten Kurssicherungen zu schützen, wird der Moodle-Administrator bei der Aktualisierung auf Moodle 1.9.7 aufgefordert, sein Kennwort neu zu setzen.
• MDL-19608 - Um es der Moodle-Administration zu erleichtern, die Nutzer zur Änderung ihres Kennworts zu zwingen, wurde eine Option zur Kennwortänderung unter Website-Administration > Nutzer/innen > Nutzer hochladen eingefügt.
• MDL-9251 - Die Option, einen Kurs mit allen Nutzerdaten der Moodle-Installation zu sichern, ist nur für Nutzer möglich, bei denen die Fähigkeit moodle/site:backup im System-Kontext auf erlauben gesetzt ist. Analog können nur Nutzer einen einen Kurs mit allen Nutzerdaten der Moodle-Installation wiederherstellen, bei denen die Fähigkeit moodle/site:restore im System-Kontext auf erlauben gesetzt ist.

Neue Sprachpakete

• Dhiveni - Ahmed Shareef, Moosa Ali, Amir Hussein

(siehe Danksagung)