作成中です - Mitsuhiro Yoshida 2007年6月13日 (水) 16:26 (CDT)

異なるケイパビリティを許可することにより、リスクが生じる可能性があることを十分に考慮すべきです。

設定

サイトの設定および動作を変更するため、moodle/site:doanythingのようなケイパビリティは管理者への割り当てを想定しています。

XSS (クロスサイト・スクリプティング)

特定のケイパビリティでは、ユーザがファイルやJavaスクリプト等を含んだHTMLコードをチェックなしに追加することができます。これはクロスサイト・スクリプティング (XSS) に悪用される可能性があります。これらのケイパビリティは管理者および教師のみへの適用を想定しています。

プライバシー

Certain capabilities enable users to gain access to private information of other users, for example non-public information in a user's profile. These capabilities are intended for administrators and teachers only.

スパム

Certain capabilities enable users to add content to site, for example forum posts, and send messages to other users. These capabilities may be misused for spamming purposes.

デフォルトで定義されるロールのリスク

• ゲスト- リスクなしのケイパビリティのみ許可されています。
• 学生- スパムリスクを含むケイパビリティが許可されています。
• 教師- XSSおよびプライバシーリスクを含むケイパビリティが許可されています。
• 管理者- すべてのケイパビリティが許可されています。

関連情報

• Development:Hardening new Roles system
• ケイパビリティ/moodle/site:trustcontent