「セキュリティオーバービュー」の版間の差分

提供:MoodleDocs
移動先:案内検索
編集の要約なし
編集の要約なし
8行目: 8行目:




*[[レポート/セキュリティ/レポートセキュリティチェック report_security_check_globals|Register globals]]
*[[レポート/セキュリティ/report_security_check_globals|Register globals]]
:Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
:Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。


*[[レポート/セキュリティ/レポートセキュリティチェック report_security_check_unsecuredataroot|安全でないdataroot]]
*[[レポート/セキュリティ/report_security_check_unsecuredataroot|安全でないdataroot]]
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。


*[[レポート/セキュリティ/レポートセキュリティチェック PHPエラーの表示|PHPエラーの表示]]
*[[レポート/セキュリティ/report_security_check_displayerrors|PHPエラーを表示する]]
:PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
:PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。


*[[レポート/セキュリティ/レポートセキュリティチェック 認証なし|認証なし]]
*[[レポート/セキュリティ/report_security_check_noauth|認証なし]]
:認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
:認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。


*[[レポート/セキュリティ/レポートセキュリティチェック 埋め込み|EMBEDおよびOBJECTを許可する]]
*[[レポート/セキュリティ/report_security_check_embed|EMBEDおよびOBJECTを許可する]]
:仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
:仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。


*[[レポート/セキュリティ/レポートセキュリティチェック swf‎メディアフィルタ|.swfメディアフィルタを有効にする]]
*[[レポート/セキュリティ/report_security_check_mediafilterswf|.swfメディアフィルタを有効にする]]
:Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
:Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。


*[[レポート/セキュリティ/レポートセキュリティチェック オープンユーザプロファイル|オープンユーザプロファイル]]
*[[レポート/セキュリティ/report_security_check_openprofiles|ユーザプロファイルを公開する]]
:プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
:プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。


*[[レポート/セキュリティ/レポートセキュリティチェック google|Googleに公開する]]
*[[レポート/セキュリティ/report_security_check_google|Googleに公開する]]
:あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
:あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。


*[[レポート/セキュリティ/レポートセキュリティチェック パスワードポリシー|パスワードポリシー]]
*[[レポート/セキュリティ/report_security_check_passwordpolicy|パスワードポリシー]]
:パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。
:パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。


38行目: 38行目:
:パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
:パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。


*[[レポート/セキュリティ/レポートセキュリティチェック メール変更確認|メール変更確認]]
*[[レポート/セキュリティ/report_security_check_emailchangeconfirmation|メール変更確認]]
:通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。
:通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。


*[[レポート/セキュリティ/レポートセキュリティチェック configrw|書き込み可能なconfig.php]]
*[[レポート/セキュリティ/report_security_check_configrw|書き込み可能なconfig.php]]
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.


2010年3月9日 (火) 01:42時点における版

作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)

Moodle 1.8

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

Security overview


Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。
パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。
The config.php file must not be writeable by the web server process. If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.
Review your administrator accounts and make sure you only have what you need.
Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
This checks that the registered user role is defined with sane permissions.
This checks that the guest role is defined with sane permissions.
This checks that the frontpage user role is defined with sane permissions.
This checks that the default course role globally is defined with sane permissions.
This check alerts you if any courses are using an odd default course role.

関連情報

https://docs.moodle.org/2x/ja/index.php?title=セキュリティオーバービュー&oldid=9929」から取得
Powered by MediaWiki