作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

Security overview

• Register globals

Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。

• 安全でないdataroot

datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。

• PHPエラーを表示する

PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。

• 認証なし

認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。

• EMBEDおよびOBJECTを許可する

仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。

• .swfメディアフィルタを有効にする

Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。

• ユーザプロファイルを公開する

プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。

• Googleに公開する

あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。

• パスワードポリシー

パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。

• パスワードSALT

パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。

• メール変更確認

通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。

• 書き込み可能なconfig.php

config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。

• XSS信頼ユーザ

このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。

• 管理者

あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。

• ユーザデータのバックアップ

ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。

• すべてのユーザのデフォルトロール

登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。

• ゲストロール

ゲストロールに正しいパーミッションが定義されているかどうか確認します。

• フロントページロール

フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。

• デフォルトコースロール (グローバル)

デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。

• デフォルトトール (コース)

コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。

関連情報

• Using Moodle Security and Privacy forum