Diferencia entre revisiones de «Riesgos»
Sin resumen de edición |
m (fix typo) |
||
(No se muestran 8 ediciones intermedias de 4 usuarios) | |||
Línea 1: | Línea 1: | ||
{{Roles}} | {{Roles}} | ||
Debe darse consideración cuidadosa a los riesgos involucrados al permitir diferentes capacidades. | |||
==Configuración== | ==Configuración== | ||
Ciertas capacidades, tales como [[Capabilities/moodle/site:doanything|moodle/site:doanything]] están previstas para uso exclusivo de los administradores, ellos pueden habilitar permisos especiales para algunos usuarios después de un análisis minucioso de los riesgos. | |||
==XSS ( | ==XSS (Cross-Site Scripting)== | ||
Algunas funcionalidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de ''Secuencias de Comandos en Sitios Cruzados'' ([https://docs.moodle.org/all/es/Riesgos#XSS_.28Cross-Site_Scripting.29 Cross-site scripting - XSS]), con la posibilidad de obtener acceso completo como administrador. Son funcionalidades solamente destinadas para administradores y profesores. | |||
==Privacidad== | ==Privacidad== | ||
Ciertas capacidades permiten a los usuarios ganar acceso a información privada de otros usuarios. por ejemplo información no pública del perfil de usuario. Estas capacidades son previstas únicamente para administradores y profesores. | |||
==Publicidad chatarra (''Spam'')== | |||
Ciertas capacidades permiten a los usuarios agregar contenido al sitio, por ejemplo mensajes en fotos, creación de cuentas, y envio de mensajes a otros usuarios. Estas capacidades pueden ser mal usadas con propositos de spamming. | |||
==Riesgos para los roles predefinidos== | |||
* Invitado - sólo capacidades sin ningún riesgo son permitidas | |||
* Estudiante - ciertas capacidades con riesgo de spam son permitidas | |||
* Profesor - ciertas capacidades con riesgo de XSS y privacidad son permitidas | |||
* Administrador - todas las capacidades son permitidas | |||
==Vea también== | |||
* [https://docs.moodle.org/dev/Hardening_new_Roles_system Development:Hardening new Roles system] | |||
* [[Capabilities/moodle/site:trustcontent]] | |||
[[Category:Administrador]] | [[Category:Administrador]] | ||
[[Category:Roles]] | [[Category:Roles]] | ||
[[en:Risks]] |
Revisión actual - 18:38 11 ago 2023
Debe darse consideración cuidadosa a los riesgos involucrados al permitir diferentes capacidades.
Configuración
Ciertas capacidades, tales como moodle/site:doanything están previstas para uso exclusivo de los administradores, ellos pueden habilitar permisos especiales para algunos usuarios después de un análisis minucioso de los riesgos.
XSS (Cross-Site Scripting)
Algunas funcionalidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de Secuencias de Comandos en Sitios Cruzados (Cross-site scripting - XSS), con la posibilidad de obtener acceso completo como administrador. Son funcionalidades solamente destinadas para administradores y profesores.
Privacidad
Ciertas capacidades permiten a los usuarios ganar acceso a información privada de otros usuarios. por ejemplo información no pública del perfil de usuario. Estas capacidades son previstas únicamente para administradores y profesores.
Publicidad chatarra (Spam)
Ciertas capacidades permiten a los usuarios agregar contenido al sitio, por ejemplo mensajes en fotos, creación de cuentas, y envio de mensajes a otros usuarios. Estas capacidades pueden ser mal usadas con propositos de spamming.
Riesgos para los roles predefinidos
- Invitado - sólo capacidades sin ningún riesgo son permitidas
- Estudiante - ciertas capacidades con riesgo de spam son permitidas
- Profesor - ciertas capacidades con riesgo de XSS y privacidad son permitidas
- Administrador - todas las capacidades son permitidas