Riesgos

Saltar a: navegación, buscar


Debe darse consideración cuidadosa a los riesgos involucrados al permitir diferentes capacidades.

Configuración

Ciertas capacidades, tales como moodle/site:doanything están previstas para uso exclusivo de los administradores, ellos pueden habilitar permisos especiales para algunos usuarios después de un análisis minucioso de los riesgos.

XSS (Cross-Site Scripting)

Algunas funcionalidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de Secuencias de Comandos en Sitios Cruzados (Cross-site scripting - XSS), con la posibilidad de obtener acceso completo como administrador. Son funcionalidades solamente destinadas para administradores y profesores.

Privacidad

Ciertas capacidades permiten a los usuarios ganar acceso a información privada de otros usuarios. por ejemplo información no pública del perfil de usuario. Estas capacidades son previstas únicamente para administradores y profesores.

Publicidad chatarra (Spam)

Ciertas capacidades permiten a los usuarios agregar contenido al sitio, por ejemplo mensajes en fotos, creación de cuentas, y envio de mensajes a otros usuarios. Estas capacidades pueden ser mal usadas con propositos de spamming.

Riesgos para los roles predefinidos

  • Invitado - sólo capacidades sin ningún riesgo son permitidas
  • Estudiante - ciertas capacidades con riesgo de span son permitidas
  • Profesor - ciertas capacidades con riesgo de XSS y privacidad son permitidas
  • Administrador - todas las capacidades son permitidas

Vea también