「セキュリティオーバービュー」の版間の差分

提供:MoodleDocs
移動先:案内検索
編集の要約なし
編集の要約なし
14行目: 14行目:
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。


*[[report/security/report security check displayerrors|Displaying of PHP errors]]
*[[レポート/セキュリティ/レポートPHPエラーの表示|PHPエラーの表示]]
:If PHP is set to display errors, then anyone can enter a faulty URL causing PHP to give up valuable information about directory structures and so on.
:PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。


*[[report/security/report security check noauth|No authentication]]
*[[report/security/report security check noauth|No authentication]]

2010年2月21日 (日) 15:03時点における版

作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)

Moodle 1.8

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

Security overview


Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
Use of the "no authentication" plugin can be dangerous, allowing people to access the site without authenticating.
Allowing ordinary users to embed Flash and other media in their texts (eg forum posts) can be a problem because those rich media objects can be used to steal admin or teacher access, even if the media object is on another server.
Even the flash media filter can be abused to include malicious flash files.
User profiles should not be open to the web without authentication, both for privacy reasons and because spammers then have a platform to publish spam on your site.
Allowing Google to enter your site means that all the contents become available to the world. Don't use this unless it's a really public site.
Using a password policy will force your users to use stronger passwords that are less susceptible to being cracked by a intruder.
Setting a password salt greatly reduces the risk of password theft.
You should generally always force users to confirm email address changes via an extra step where a confirmation link is sent to the user.
The config.php file must not be writeable by the web server process. If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.
Review your administrator accounts and make sure you only have what you need.
Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
This checks that the registered user role is defined with sane permissions.
This checks that the guest role is defined with sane permissions.
This checks that the frontpage user role is defined with sane permissions.
This checks that the default course role globally is defined with sane permissions.
This check alerts you if any courses are using an odd default course role.

関連情報