Risques

Remarque : la traduction de cette page n'est pas terminée. N'hésitez pas à traduire tout ou partie de cette page ou à la compléter. Vous pouvez aussi utiliser la page de discussion pour vos recommandations et suggestions d'améliorations.

Il convient d'accorder une attention particulière aux risques inhérents à l'octroi de capacités différentes.

Configuration

Certaines capacités sont destinées aux administrateurs et gestionnaires uniquement, car elles permettent aux utilisateurs de modifier la configuration et le comportement du site.

XSS (Scripts intersites)

Certaines capacités permettent aux utilisateurs d'ajouter des fichiers non vérifiés et du code HTML contenant du JavaScript, etc. Ceci peut être utilisé à mauvais escient à des fins de scripts intersites (XSS), avec la possibilité d'obtenir un accès administrateur complet. Ces capacités sont destinées aux administrateurs et aux enseignants uniquement.

Astuce: Le Panorama de sécurité (Administration > Rapports > Panorama de sécurité) liste tous les Utilisateurs approuvés XSS..

Confidentialité

Certaines capacités permettent aux utilisateurs d'accéder à des informations privées d'autres utilisateurs, par exemple des informations non publiques dans le profil d'un utilisateur. Ces capacités sont destinées aux administrateurs et aux enseignants uniquement.

Spam

Certaines capacités permettent aux utilisateurs d'ajouter du contenu au site, par exemple des messages de forum, la création de compte et l'envoi de messages à d'autres utilisateurs. Ces capacités peuvent être utilisées à mauvais escient à des fins de spamming.

Risques pour les rôles prédéfinis

  • Visiteur anonyme - seules les capacités sans risque sont autorisées
  • Etudiant - certaines capacités avec des risques de spam sont autorisées
  • Enseignant - certaines capacités avec XSS et les risques d'atteinte à la vie privée sont autorisés
  • Administrateur - toutes les capacités sont autorisées

Voir aussi