Sicherheit FAQ
Wie kann ich Sicherheitsprobleme melden?
Bitte erstellen Sie einen neuen Eintrag im Moodle Tracker ("Create a new issue"). Geben Sie eine detaillierte Beschreibung des Problems (und ggf. einer Lösung). Wählen Sie den richtigen Sicherheitslevel (security level), um sicherzustellen, dass das Entwicklerteam von Moodle den Eintrag findet. Einträge, die als schwerwiegend gekennzeichnet sind ("serious security issue"), bleiben vor der Öffentlichkeit verborgen, bis das Sicherheitsteam von Moodle (geleitet von Petr Skoda) das Problem gelöst hat und den registrierten Moodle-Systemen entsprechende Patches zur Verfügung gestellt hat (siehe unten).
Wie kann ich mein Moodle-System sicher betreiben?
- Aktualisieren Sie Ihr System in regelmäßigen Abständen auf die neueste stabile Release Ihrer aktuellen Version.
- Wenn Sicherheitslücken geschlossen werden, veröffentlicht das Sicherheitsteam i.d.R. auch die entsprechenden Patches. Wenn Sie ein wenig mit PHP-Programmierung vertraut sind, kann es für Sie u.U. einfacher sein, die entsprechenden Codeanpassungen in Ihrer Installation vorzunehmen, statt auf die neueste Version zu aktualisieren.
Wie kann ich sicherheitsrelevante Probleme verfolgen?
- Registrieren Sie Ihre Moodle-Installation auf moodle.org (via Einstellungen > Website-Administration > Mitteilungen). Achten Sie darauf, dass Sie bei der Registrierung die Option zur E-Mail-Benachrichtung aktivieren, um wichtige Mitteilungen zu Sicherheitsfragen und Updates von moodle.org zu erhalten. Dadurch wird Ihre E-Mail-Adresse in eine entsprechende Mailingliste hinzugefügt.
- Außerdem werden alle Sicherheitsprobleme im Moodle Security forum im Kurs Using Moodle auf moodle.org veröffentlicht. Sie können dieses Forum als RSS Feed abonnieren oder die Sicherheitsnachrichten auf Twitter verfolgen.
Welche Versionen von Moodle werden unterstützt?
- Alle Versionen, die man von download.moodle.org herunterladen kann, werden unterstützt.
- Der letzte Entwicklungszweig von Moodle (z.B. Moodle 2.0 dev - Stand Mai 09) ist nicht für den produktiven Einsatz gedacht. Wenn Sie also den Entwicklunszweig für Testzwecke oder Evaluationen nutzen, dann setzen wir voraus, dass Sie diese Entwicklerversion regelmäßig aktualisieren.
- Unser Sicherheitsexperte Petr Skoda ist für die Sicherheit des Codes verantwortlich, der zur Moodle-Standardinstallation gehört. Das Kernentwicklerteam übernimmt jedoch keine Verantwortung für die Sicherheit des Codes von Dritten.
Wer sieht Einträge zu Sicherheitsproblemen im Bug-Tracker?
Wenn ein Eintrag im Bug-Tracker mit der richtigen Sicherheitsstufe gekennzeichnet ist, sehen ihn nur die Mitglieder des Sicherheitsteams und die Person, die den Eintrag erstellt hat.
Welche Versionen von Moodle werden unterstützt?
- Es werden alle Versionen unterstützt, die Sie auf download.moodle.org herunterladen können. Wenn Sie eine ältere Version betreiben, empfehlen wir dringen, zu aktualisieren.
- Der letzte Moodle-Entwicklungs-Branch ist nicht für den produktiven Einsatz gedacht. Wenn Sie diesen Code für Testzwecke nutzen, gehen wir davon aus, dass Sie auch hier regelmäßig aktualisieren.
- Das Sicherheitsteam wird von Petr Škoda geleitet, er ist für die Sicherheit des Moodle-Standardpakets verantwortlich. Bei Code-Plugins von Dritten ist der jeweilige Anbieter für die Sicherheit verantwortlich.
Mein Moodle wurde gehackt. Was kann ich tun?
Siehe Wiederherstellung einer kompromittierten Moodle-Site
Wie kann ich Spam in Moodle reduzieren?
Siehe Spam reduzieren in Moodle
Wie kann ich Moodle datenschutzkonform betreiben?
Siehe Datenschutz in Moodle.
Wie aktiviere ich ReCaptcha?
Bei der E-Mail-basierten Selbstregistrierung können Sie dem Anmeldeformular ein CAPTCHA Element hinzufügen, um Spam zu vermeiden. Das funktioniert wie folgt:
- Besorgen Sie sich einen reCAPTCHA Schlüssel von http://recaptcha.net, indem Sie sich dort kostenlos registrieren und eine Domain angeben.
- Kopieren Sie den öffentlichen und den privaten Schlüssel in die entsprechenden Eingabefelder ReCaptcha: Public Key bzw. ReCaptcha: Private Key auf der Seite Einstellungen > Website-Administration > Plugins > Authentifizierung > Übersicht.
- Klicken Sie auf Änderungen speichern ganz unten auf der Seite.
- Gehen Sie nun auf die Seite Einstellungen > Website-Administration > Plugins > Authentifizierung > E-Mail basiert und setzen Sie ReCaptcha einschalten auf Ja.
- Klicken Sie auf Änderungen speichern ganz unten auf der Seite.
Wie kann ich einen Sicherheitsbericht erzeugen?
Der Zugriff auf den Sicherheitsbericht erfolgt über Einstellungen > Website-Administration > Berichte > Sicherheitsbericht.
Wie kann ich die Kennwortverschlüsselung aktivieren?
Moodle speichert Kennwörter als MD5. Die Kennwortverschlüsselung mittels Salts fügt zum Kennwort weitere Informationen hinzu, so dass es praktisch unmöglich ist, das Kennwort zu entschlüsseln. Details finden Sie im Artikel Kennwortverschlüsselung (Salt).
Was passiert, wenn ich den Kennwortverschlüsselungs-Salt verliere?
Dann müssen bei allen Nutzer/innen die Kennwörter neu gesetzt werden. Speichern Sie daher Ihren Salt zusätzlich an einer sicheren Stelle außerhalb der Moodle-Konfigurationsdatei config.php.
Siehe auch
- Security and Privacy forum - Diskussionsforum im Kurs Using Moodle auf moodle.org
Diskussionsbeiträge im Kurs Using Moodle auf moodle.org: