作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

• Register globals

Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。

• 安全ではないdataroot

datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。

• PHPエラーの表示

PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。

• 認証なし

認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。

• EMBEDおよびOBJECTを許可する

仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。

• .swfメディアフィルタを有効にする

Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。

• Open user profiles

User profiles should not be open to the web without authentication, both for privacy reasons and because spammers then have a platform to publish spam on your site.

• Open to Google

Allowing Google to enter your site means that all the contents become available to the world. Don't use this unless it's a really public site.

• Password policy

Using a password policy will force your users to use stronger passwords that are less susceptible to being cracked by a intruder.

• Password salt

Setting a password salt greatly reduces the risk of password theft.

• Email change confirmation

You should generally always force users to confirm email address changes via an extra step where a confirmation link is sent to the user.

• Writable config.php

The config.php file must not be writeable by the web server process. If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.

• XSS trusted users

Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.

• Administrators

Review your administrator accounts and make sure you only have what you need.

• Backup of user data

Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.

• Default role for all users

This checks that the registered user role is defined with sane permissions.

• Guest role

This checks that the guest role is defined with sane permissions.

• Frontpage role

This checks that the frontpage user role is defined with sane permissions.

• Default course role (global)

This checks that the default course role globally is defined with sane permissions.

• Default roles (courses)

This check alerts you if any courses are using an odd default course role.

関連情報

• Using Moodle Security and Privacy forum