「セキュリティオーバービュー」の版間の差分

提供:MoodleDocs
移動先:案内検索
編集の要約なし
編集の要約なし
42行目: 42行目:


*[[レポート/セキュリティ/report_security_check_configrw|書き込み可能なconfig.php]]
*[[レポート/セキュリティ/report_security_check_configrw|書き込み可能なconfig.php]]
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
:config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。


*[[report/security/report security check riskxss|XSS trusted users]]
*[[report/security/report security check riskxss|XSS trusted users]]

2010年3月9日 (火) 16:03時点における版

作成中です - Mitsuhiro Yoshida 2010年2月16日 (火) 16:26 (UTC)

Moodle 1.8

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

Security overview


Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。
パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。
config.phpファイルは、ウェブサーバプロセスによって書き込み可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。
Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.
Review your administrator accounts and make sure you only have what you need.
Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
This checks that the registered user role is defined with sane permissions.
This checks that the guest role is defined with sane permissions.
This checks that the frontpage user role is defined with sane permissions.
This checks that the default course role globally is defined with sane permissions.
This check alerts you if any courses are using an odd default course role.

関連情報

https://docs.moodle.org/2x/ja/index.php?title=セキュリティオーバービュー&oldid=9941」から取得
Powered by MediaWiki