Riesgos
Debe darse consideración cuidadosa a los riesgos involucrados al permitir diferentes capacidades.
Configuración
Ciertas capacidades, tales como moodle/site:doanything están previstas para uso exclusivo de los administradores, ellos pueden habilitar permisos especiales para algunos usuarios después de un análisis minucioso de los riesgos.
XSS (Cross-Site Scripting)
Algunas funcionalidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de Secuencias de Comandos en Sitios Cruzados (Cross-site scripting - XSS), con la posibilidad de obtener acceso completo como administrador. Son funcionalidades solamente destinadas para administradores y profesores.
Privacidad
Ciertas capacidades permiten a los usuarios ganar acceso a información privada de otros usuarios. por ejemplo información no pública del perfil de usuario. Estas capacidades son previstas únicamente para administradores y profesores.
Publicidad chatarra (Spam)
Ciertas capacidades permiten a los usuarios agregar contenido al sitio, por ejemplo mensajes en fotos, creación de cuentas, y envio de mensajes a otros usuarios. Estas capacidades pueden ser mal usadas con propositos de spamming.
Riesgos para los roles predefinidos
- Invitado - sólo capacidades sin ningún riesgo son permitidas
- Estudiante - ciertas capacidades con riesgo de spam son permitidas
- Profesor - ciertas capacidades con riesgo de XSS y privacidad son permitidas
- Administrador - todas las capacidades son permitidas