「セキュリティオーバービュー」の版間の差分
提供:MoodleDocs
Mitsuhiro Yoshida (トーク | 投稿記録) 編集の要約なし |
Mitsuhiro Yoshida (トーク | 投稿記録) 編集の要約なし |
||
44行目: | 44行目: | ||
:config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。 | :config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_riskxss|XSS 信頼ユーザ] | ||
: | :このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。 | ||
*[[report/security/report security check riskadmin|Administrators]] | *[[report/security/report security check riskadmin|Administrators]] |
2010年3月10日 (水) 15:34時点における版
作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)
Moodle 1.8
ロケーション: サイト管理 > レポート > セキュリティオーバービュー
セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。
- Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
- datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
- PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
- 認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
- 仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
- Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
- プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
- あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
- パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。
- パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
- 通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。
- config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。
- [[レポート/セキュリティ/report_security_check_riskxss|XSS 信頼ユーザ]
- このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。
- Review your administrator accounts and make sure you only have what you need.
- Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
- This checks that the registered user role is defined with sane permissions.
- This checks that the guest role is defined with sane permissions.
- This checks that the frontpage user role is defined with sane permissions.
- This checks that the default course role globally is defined with sane permissions.
- This check alerts you if any courses are using an odd default course role.
関連情報
- Using Moodle Security and Privacy forum