「セキュリティFAQ」の版間の差分

2021年3月26日 (金) 06:39時点における最新版

セキュリティの問題を報告するにはどうすればよいですか?

セキュリティ問題を報告する方法の詳細については、開発ドキュメントの Moodleセキュリティ手順を参照してください。

以前に修正されたセキュリティ問題は、Moodle.orgセキュリティニュースにリストされています。問題が修正されたかどうかわからない場合は、とにかく報告することをお勧めします。

サイトを安全に保つにはどうすればよいですか?

使用しているバージョンの最新の安定版リリースを常に使用することをお勧めします。使用しているブランチの最新バージョン、たとえばMoodle2.X.1から2.Xブランチの最新バージョンにアップグレードしても安全です。 Git経由でダウンロードを使用すると、これを非常に簡単に行うことができます。

最近のセキュリティ問題を追跡するにはどうすればよいですか?

Moodleサイトをmoodle.orgに登録し、セキュリティの問題とアップデートについて通知を受けるオプションを有効にしてください。登録が承認されると、メールアドレスが少量のセキュリティアラートメーリングリストに自動的に追加されます。

最終的に、すべての重要なセキュリティ問題は、Moodle Securityフォーラムを介して一般に公開されます。フォーラムに登録するか、Twitterでmoodlesecurityをフォローすることができます。

トラッカーでセキュリティの問題を表示できるのは誰ですか?

トラッカーの問題のセキュリティレベルに応じて、アクセスは開発者、テスター、またはセキュリティチームのメンバーに制限されます。具体的な詳細については、 Trackerguideのセキュリティレベルフィールドの説明を参照してください。

どのバージョンのMoodleがサポートされていますか?

現在サポートされているバージョンはdownload.moodle.orgにリストされています。

私のサイトがハッキングされました。私は何をしますか?

ハッキングされたサイトの回復を参照してください。

Moodleでスパムを減らすにはどうすればよいですか?

Moodleでスパムを減らすを参照してください。

Moodleでプライバシーを強化するにはどうすればよいですか?

Moodleのプライバシーを高めるを参照してください。

reCAPTCHAを有効にするにはどうすればよいですか?

Eメールによる自己登録の新しいアカウントフォームにCAPTCHAエレメントを使用してスパム保護を追加するには:

http://recaptcha.net からreCAPTCHAキーを取得するには、signing up for an account (無料)でドメインを入力します。
管理画面 > プラグイン > 認証 > 認証管理の共通設定の recaptchapublickey と recaptchaprivatekey フィールドに、提供された公開鍵と秘密鍵をコピー＆ペーストしてください。
ページ下部の "変更を保存" ボタンをクリックします。
"管理画面 > プラグイン > 認証 > 認証管理" で、Eメールによる自己登録の設定リンクをたどり、reCAPTCHA要素を有効にします。
ページ下部の "変更を保存する" ボタンをクリックします。

セキュリティ概要レポートを実行するにはどうすればよいですか?

セキュリティの概要レポートを実行するには、 管理 > サイト管理 > レポート > セキュリティの概要 に移動します。

クロスサイトスクリプティング（XSS）がMoodleで可能であることを発見しました

教師がコースを強化するために使用するリッチコンテンツの一部の形式は、悪意のあるユーザがクロスサイトスクリプティング攻撃に使用できるのと同じテクノロジーを使用しています。 Moodleがセキュリティのみに関心がある場合、これは許可されません。ただし、Moodleは教育にも関わっているため、システムの保護と教師のニーズへのサポートのバランスをとる必要があります。

豊富な教育コンテンツの作成とシステムの保護のバランスを取るために、投稿XSS対応コンテンツへのアクセスは、'XSSリスク' のフラグが立てられたケイパビリティによって制御されます。リスクを参照してください。一般に、これは、管理者と教師はXSS対応のコンテンツを投稿できますが、学生は投稿できないことを意味します - XSSの信頼できるユーザを参照してください。

時折、セキュリティバグがMoodleのXSS対応コンテンツの取り扱いで発見され、責任ある開示を通じてこれらを報告してくれたコミュニティに感謝しています。 XSSバグをMoodleに報告する前に、XSSコンテンツを投稿するユーザがXSSリスクのフラグが立てられたケイパビリティを持っていないことを確認してください。

@@ 1行目: / 1行目: @@
-作成中です - [[利用者:Mitsuhiro Yoshida|Mitsuhiro Yoshida]] 2009年10月4日 (日) 17:38 (UTC)
+{{セキュリティ}}
+==セキュリティの問題を報告するにはどうすればよいですか?==
-==セキュリティに関する問題を、どのように報告すればよいですか?==
+セキュリティ問題を報告する方法の詳細については、開発ドキュメントの[[:dev:Moodleセキュリティ手順| Moodleセキュリティ手順]]を参照してください。
-問題の詳細 (可能であれば解決策も) を記述した上で、[http://tracker.moodle.org Moodle Tracker]に報告してください。セキュリティチームが確認できるよう、報告時は、セキュリティレベルを正確に設定してください。「深刻なセキュリティ問題 (Serious security issue)」として分類されたバグは、(Petr Skoda氏が率いる) セキュリティチームによって問題解決および登録サイトへ対応方法が通知されるまで、一般公衆から秘匿されます (下記参照)。
+以前に修正されたセキュリティ問題は、[http://moodle.org/security/ Moodle.orgセキュリティニュース]にリストされています。問題が修正されたかどうかわからない場合は、とにかく報告することをお勧めします。
-==どのようにすれば、私のサイトをセキュアな状態にできますか?==
+==サイトを安全に保つにはどうすればよいですか?==
-* 一般的な方法は、あなたが使用しているMoodle全体を最新のステイブルリリースに更新することです。例えば、1.8.1から1.8.2+へアップグレードすることは、常に極めて安全です。[[管理者用CVS|CVS]]は、アップグレードするための、非常に簡単な方法です。
+使用しているバージョンの最新の安定版リリースを常に使用することをお勧めします。使用しているブランチの最新バージョン、たとえばMoodle2.X.1から2.Xブランチの最新バージョンにアップグレードしても安全です。 [[管理者用Git | Git経由でダウンロード]]を使用すると、これを非常に簡単に行うことができます。
-* 多くの警告メッセージには、数多くのパッチ情報を含んでいます。スクリプトの編集に関して、あなたに相当な自信がある場合、影響のあるファイルにのみパッチを当てる方が簡単でしょう。
-==どのようにすれば、最新のセキュリティ問題を把握できますか?==
+==最近のセキュリティ問題を追跡するにはどうすればよいですか?==
-* あなたの[http://moodle.org/sites Moodleサイト]をmoodle.orgに登録して (あなたのMoodleサイトの「admin/index.php」にアクセスして、Moodle登録ボタンを確認してください)、セキュリティ問題および更新に関して、通知オプションを有効にしてください。あなたのサイト登録が承認された場合、あなたのメールアドレスは、コンテンツ量の少ない、私たちのローボリュームのセキュリティ警告メーリングリストに登録されます。
+* [[サイト登録| Moodleサイトをmoodle.org]]に登録し、セキュリティの問題とアップデートについて通知を受けるオプションを有効にしてください。登録が承認されると、メールアドレスが少量のセキュリティアラートメーリングリストに自動的に追加されます。
-* 最終的に、すべての重要なセキュリティ問題は、[http://moodle.org/mod/forum/view.php?f=996 Moodle Security forum]を通じて、一般ユーザに公開されます。[http://moodle.org/rss/file.php/1/1/forum/996/rss.xml forum RSS feed]を購読することで、あなたのフィードリーダーまたはポータルに、自動的に最新のセキュリティ問題を追加することができます。
+*最終的に、すべての重要なセキュリティ問題は、[http://moodle.org/mod/forum/view.php?f=996 Moodle Securityフォーラム]を介して一般に公開されます。フォーラムに登録するか、[http://twitter.com/moodlesecurity Twitterでmoodlesecurityをフォロー]することができます。
-==どのバージョンのMoodleがサポートされますか?==
+==トラッカーでセキュリティの問題を表示できるのは誰ですか?==
-* [http://download.moodle.org/ download.moodle.org] からダウンロード可能なすべてのバージョン (1.6、1.7、1.8および1.9) がサポートされます。
+トラッカーの問題のセキュリティレベルに応じて、アクセスは開発者、テスター、またはセキュリティチームのメンバーに制限されます。具体的な詳細については、[[dev:Tracker guide#When_creating_an_issue | Trackerguideのセキュリティレベルフィールドの説明]]を参照してください。
-* 最新の開発版Moodleでは、セキュリティ問題は修正されていますが、実運用サイトでの使用は、お勧めできません。また、このバージョンに関して、セキュリティ問題に関するアナウンスは実施されません。あなたがテストまたは評価のため、開発版を使用している場合、私たちは、あなたが定期的にコードを更新しているものと見做します。
-* 私たちのセキュリティオフィサ、Petr Škoda氏により、スタンダードMoodleディストリビューションで発見されたコード上のセキュリティ問題が監視されます。moodle.orgに寄与されたコードのセキュリティは、それぞれの開発者の責任において対応されます。
-==私のサイトが不正侵入 (hacked) されました。どうすればよいのでしょう?==
+==どのバージョンのMoodleがサポートされていますか?==
-詳細は、[[不正侵入されたサイトの回復]]をご覧ください。
+現在サポートされているバージョンは[http://download.moodle.org/ download.moodle.org]にリストされています。
-==How can I reduce spam in Moodle?==
+==私のサイトがハッキングされました。私は何をしますか?==
-See [[Reducing spam in Moodle]].
+[[ハッキングされたサイトの回復]]を参照してください。
-==How can I increase privacy in Moodle?==
+== Moodleでスパムを減らすにはどうすればよいですか?==
-See [[Increasing privacy in Moodle]].
+[[Moodleでスパムを減らす]]を参照してください。
-==How do I enable reCAPTCHA?==
+== Moodleでプライバシーを強化するにはどうすればよいですか?==
-To add spam protection to the [[Email-based self-registration]] new account form with a CAPTCHA element:
+[[Moodleのプライバシーを高める]]を参照してください。
-#Obtain a reCAPTCHA key from http://recaptcha.net by [https://admin.recaptcha.net/accounts/signup/?next= signing up for an account] (free) then entering a domain.
+== reCAPTCHAを有効にするにはどうすればよいですか?==
-#Copy and paste the public and private keys provided into the ''recaptchapublickey'' and ''recaptchaprivatekey'' fields in the manage authentication common settings in ''Administration > Users > Authentication > [[Manage authentication]]''.
-#Click the "Save changes" button at the bottom of the page.
-#Follow the settings link for email-based self-registration in ''Administration > Users > Authentication > Manage authentication'' and enable the reCAPTCHA element.
-#Click the "Save changes" button at the bottom of the page.
-==How can I run the security overview report?==
+[[Eメールによる自己登録]]の新しいアカウントフォームにCAPTCHAエレメントを使用してスパム保護を追加するには:
-To run the new [[Security overview|security overview report]], you need to be using Moodle 1.8.9 or 1.9.4. The report can be accessed via ''Administration > Reports > Security overview''.
+#http://recaptcha.net からreCAPTCHAキーを取得するには、[https://admin.recaptcha.net/accounts/signup/?next= signing up for an account] (無料)でドメインを入力します。
+#管理画面 > プラグイン > 認証 > [[認証管理]]の共通設定の ''recaptchapublickey'' と ''recaptchaprivatekey'' フィールドに、提供された公開鍵と秘密鍵をコピー＆ペーストしてください。
+#ページ下部の "変更を保存" ボタンをクリックします。
+#"管理画面 > プラグイン > 認証 > 認証管理" で、Eメールによる自己登録の設定リンクをたどり、reCAPTCHA要素を有効にします。
+#ページ下部の "変更を保存する" ボタンをクリックします。
-==関連情報==
+==セキュリティ概要レポートを実行するにはどうすればよいですか?==
-*[[セキュリティ]]
+[[セキュリティ概要レポート|セキュリティの概要レポート]]を実行するには、 ''管理 > サイト管理 > レポート > セキュリティの概要'' に移動します。
-* Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 Security and Privacy forum]
-Using Moodle forum discussions:
+==クロスサイトスクリプティング（XSS）がMoodleで可能であることを発見しました==
-* [http://moodle.org/mod/forum/discuss.php?d=124063 Trojan:JS Type Obfuscation Exploits]
-[[Category:FAQ]]
+教師がコースを強化するために使用するリッチコンテンツの一部の形式は、悪意のあるユーザがクロスサイトスクリプティング攻撃に使用できるのと同じテクノロジーを使用しています。 Moodleがセキュリティのみに関心がある場合、これは許可されません。ただし、Moodleは教育にも関わっているため、システムの保護と教師のニーズへのサポートのバランスをとる必要があります。
-[[Category:セキュリティ]]
-[[en:Security_FAQ]]
+豊富な教育コンテンツの作成とシステムの保護のバランスを取るために、投稿XSS対応コンテンツへのアクセスは、'XSSリスク' のフラグが立てられたケイパビリティによって制御されます。[[リスク]]を参照してください。一般に、これは、管理者と教師はXSS対応のコンテンツを投稿できますが、学生は投稿できないことを意味します - [[XSSの信頼できるユーザ]]を参照してください。
+時折、セキュリティバグがMoodleのXSS対応コンテンツの取り扱いで発見され、[https://docs.moodle.org/dev/Moodle_security_procedures 責任ある開示]を通じてこれらを報告してくれたコミュニティに感謝しています。 XSSバグをMoodleに報告する前に、XSSコンテンツを投稿するユーザがXSSリスクのフラグが立てられたケイパビリティを持っていないことを確認してください。
+==関連項目==
+* Moodleの使用[http://moodle.org/mod/forum/view.php?id=7301 セキュリティとプライバシーフォーラム]
+[[カテゴリ:よくある質問]]
+[[en:source for Security FAQ]]
+[[de:Sicherheit FAQ]]
+[[es:Seguridad FAQ]]
+[[fr:FAQsurlasécurité]]

Documentation