Diferencia entre revisiones de «report/security/report security check riskxss»

De MoodleDocs
Página PrincipalGestionando un sitio MoodleSeguridadreport/security/report security check riskxss
Seguridad

...y también

m (added page)
 
mSin resumen de edición
 
(No se muestran 2 ediciones intermedias del mismo usuario)
Línea 1: Línea 1:
{{chafa}}
{{chafa}}
{{Seguridad}}
{{Seguridad}}
Certain capabilities enable users to add non-checked files and HTML code containing JavaScript etc. This may be misused for cross-site scripting (XSS) purposes, with the potential to gain full admin access. These capabilities are intended for administrators and teachers only.  
Algunas capacidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de ''Secuencias de Comandos en Sitios Cruzados'' ([https://docs.moodle.org/all/es/Riesgos#XSS_.28Cross-Site_Scripting.29 Cross-site scripting - XSS]), con la posibilidad de obtener acceso completo como administrador. Son capacidades solamente destinadas para administradores y profesores.  


Make sure that you trust all the people on the XSS trusted users list.
Asegúrese, por ello, que confía en todas las personas que figuran en la lista de usuarios de confianza XSS.


Some forms of rich Multimedia content, like embedding Flash applets, or bits of JavaScript, which teachers want to use to enhance their courses, use exactly the same technologies that evil people use for cross-site scripting attacks.
Algunos formularios de contenido Multimedia enriquecido, como applets de Flash incrustados, o trozos de Javascript, que los profesores desean usar mejorando sus cursos, utilizan exactamente la misma tecnología que personas malintencionadas en sus ataques basados en ''Secuencias de Comandos en Sitios Cruzados''.


If you were solely concerned with security, you would not allow this. However, Moodle is also concerned with education, so we have to make a compromise. Historically, the compromise was that teachers, course creators, and admins were trusted, and could post complex, but potentially risky content; while students and guests were not trusted, and anything they posted had the risky stuff stripped out.
Si su única preocupación fuera la seguridad, no debiera permitirlo. Sin embargo, Moodle está también preocupado con la educación, por lo que es necesario establecer a un compromiso. Históricamente, el compromiso era la confianza en los profesores, creadores de formaciones, y administradores, y podían publicar contenido complejo, pero potencialmente peligroso; por contra, los estudiantes e invitados, de menor o nula confianza, publicaban sin riesgo alguno.


These days, with configurable roles, it is a bit more complex, because there may be other roles, or the permissions of the standard roles may have been changed. This is why we have a column of risk items on the right of the [[Manage roles|define/override roles screen]], so when you are editing the student role, you can be aware of the consequences of what you are doing.
Actualmente, con unos roles parametrizables, es algo más complicado, puesto que hay otros roles, o los permisos de roles estándar se pueden cambiar. Es por ello que se tiene una columna de elementos de riesgo a la derecha de la [[Gestionar roles|editar/definir roles]], y así, cuando se modifican los roles de estudiante, sea advertido de las consecuencias sobre lo que está haciendo.


==See also==
==Véase también==


* [[Risks]]
* [[Riesgos]]
* Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 Security and Privacy forum]
* Usando Moodle [http://moodle.org/mod/forum/view.php?id=7301 foro de Seguridad y Privacidad]


[[de:Anwender_mit_XSS-relevanten_Rechten]]
[[de:Anwender_mit_XSS-relevanten_Rechten]]

Revisión actual - 10:25 3 jun 2013

Nota: Pendiente de ACTUALIZAR esta traducción respecto a la página original en inglés (ver enlace hacia English en el cuadro abajo a la derecha).     (otras páginas pendientes)

Algunas capacidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de Secuencias de Comandos en Sitios Cruzados (Cross-site scripting - XSS), con la posibilidad de obtener acceso completo como administrador. Son capacidades solamente destinadas para administradores y profesores.

Asegúrese, por ello, que confía en todas las personas que figuran en la lista de usuarios de confianza XSS.

Algunos formularios de contenido Multimedia enriquecido, como applets de Flash incrustados, o trozos de Javascript, que los profesores desean usar mejorando sus cursos, utilizan exactamente la misma tecnología que personas malintencionadas en sus ataques basados en Secuencias de Comandos en Sitios Cruzados.

Si su única preocupación fuera la seguridad, no debiera permitirlo. Sin embargo, Moodle está también preocupado con la educación, por lo que es necesario establecer a un compromiso. Históricamente, el compromiso era la confianza en los profesores, creadores de formaciones, y administradores, y podían publicar contenido complejo, pero potencialmente peligroso; por contra, los estudiantes e invitados, de menor o nula confianza, publicaban sin riesgo alguno.

Actualmente, con unos roles parametrizables, es algo más complicado, puesto que hay otros roles, o los permisos de roles estándar se pueden cambiar. Es por ello que se tiene una columna de elementos de riesgo a la derecha de la editar/definir roles, y así, cuando se modifican los roles de estudiante, sea advertido de las consecuencias sobre lo que está haciendo.

Véase también

Obtenido de «https://docs.moodle.org/all/es/index.php?title=report/security/report_security_check_riskxss&oldid=21277»
Powered by MediaWiki