« Risques » : différence entre les versions
De MoodleDocs
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| (9 versions intermédiaires par 3 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
{{Moodle 1.7}} | {{Rôles}}{{Moodle 1.7}}Lors de la modification ou de la création d'un rôle, Moodle affiche les risques induits par l'autorisation de chaque capacité. | ||
Lors de la modification ou de la création d'un rôle, | |||
== C : Configuration == | |||
:Certaines capacités, comme [[Capabilities/moodle/site:doanything|moodle/site:doanything]] sont prévues uniquement pour les administrateurs, puisqu'elle permettent aux utilisateurs de modifier la configuration et le comportement du site. | |||
== X : XSS (Cross-Site Scripting) == | |||
:Certaines capacités permettent aux utilisateurs d'ajouter des fichiers non vérifiés, ainsi que du code HTML contenant du JavaScript... Cela pourrait être utilisé pour permettre le «cross-site scripting» (XSS), pour essayer d'obtenir un accès administrateur. Ces capacités sont prévus uniquement pour les administrateurs et les enseignants. | |||
== P : Privé == | |||
:Certaines capacités permettent d'accéder à des informations personnelles d'autres utilisateurs, comme des informations non publiques du profil. Ces capacités sont prévues uniquement pour les administrateurs et les enseignants. | |||
== S : Spam == | |||
:Certaines capacités permettent d'ajouter du contenu au site, par exemple des messages dans les forums, qui seront ensuite envoyés par courriel aux autres utilisateurs. Ces capacités pourraient être utilisées pour spammer. Le rôle de [[Visiteur anonyme]] ne devrait avoir aucune autorisation pour ces capacités. | |||
[[ | == Risques pour les rôles prédéfinis == | ||
[[ | * Visiteur anonyme - seules les capacités sans risque sont autorisées | ||
* Etudiant - certaines capacités avec des risques de spam sont autorisées | |||
* Enseignant - certaines capacités avec des risques XSS et privé sont autorisées | |||
* Administrateur - toutes les capacités sont autorisées | |||
== Voir aussi == | |||
* La capacité [[Capabilities/moodle/site:trustcontent|moodle/site:trustcontent]] | |||
* [[:en:Development:Hardening new Roles system]] | |||
[[Catégorie:Administrateur]] | |||
[[Catégorie:Rôles]] | |||
[[en:Risks]] | |||
Dernière version du 9 novembre 2009 à 14:48
Moodle1.7
Lors de la modification ou de la création d'un rôle, Moodle affiche les risques induits par l'autorisation de chaque capacité.
C : Configuration
- Certaines capacités, comme moodle/site:doanything sont prévues uniquement pour les administrateurs, puisqu'elle permettent aux utilisateurs de modifier la configuration et le comportement du site.
X : XSS (Cross-Site Scripting)
- Certaines capacités permettent aux utilisateurs d'ajouter des fichiers non vérifiés, ainsi que du code HTML contenant du JavaScript... Cela pourrait être utilisé pour permettre le «cross-site scripting» (XSS), pour essayer d'obtenir un accès administrateur. Ces capacités sont prévus uniquement pour les administrateurs et les enseignants.
P : Privé
- Certaines capacités permettent d'accéder à des informations personnelles d'autres utilisateurs, comme des informations non publiques du profil. Ces capacités sont prévues uniquement pour les administrateurs et les enseignants.
S : Spam
- Certaines capacités permettent d'ajouter du contenu au site, par exemple des messages dans les forums, qui seront ensuite envoyés par courriel aux autres utilisateurs. Ces capacités pourraient être utilisées pour spammer. Le rôle de Visiteur anonyme ne devrait avoir aucune autorisation pour ces capacités.
Risques pour les rôles prédéfinis
- Visiteur anonyme - seules les capacités sans risque sont autorisées
- Etudiant - certaines capacités avec des risques de spam sont autorisées
- Enseignant - certaines capacités avec des risques XSS et privé sont autorisées
- Administrateur - toutes les capacités sont autorisées
