異なるケイパビリティを許可することにより、リスクが生じる可能性があることを十分に考慮すべきです。

設定

サイトの設定および動作を変更するため、moodle/site:doanythingのようなケイパビリティは管理者への割り当てを想定しています。

XSS (クロスサイト・スクリプティング)

特定のケイパビリティでは、ユーザがファイルやJavaスクリプト等を含んだHTMLコードをチェックなしに追加することができます。これはクロスサイト・スクリプティング (XSS) に悪用される可能性があります。これらのケイパビリティは管理者および教師のみへの適用を想定しています。

プライバシー

特定のケイパビリティでは、ユーザが非公開のユーザプロフィール等、他のユーザの個人情報にアクセスすることができます。これらのケイパビリティは管理者および教師のみへの適用を想定しています。

スパム

特定のケイパビリティでは、ユーザがサイトへのコンテンツ追加、フォーラムの投稿、他の人へのメッセージ送信を行うことができます。これらのケイパビリティは、スパム目的で悪用される可能性があります。

デフォルトで定義されるロールのリスク

• ゲスト- リスクなしのケイパビリティのみ許可されています。
• 学生- スパムリスクを含むケイパビリティが許可されています。
• 教師- XSSおよびプライバシーリスクを含むケイパビリティが許可されています。
• 管理者- すべてのケイパビリティが許可されています。

関連情報

• Development:Hardening new Roles system
• ケイパビリティ/moodle/site:trustcontent