report/security/report security check riskxss

Saltar a: navegación, buscar

Nota: Pendiente de ACTUALIZAR esta traducción respecto a la página original en inglés (ver enlace hacia English en el cuadro abajo a la derecha).     (otras páginas pendientes)

Algunas capacidades permiten a los usuarios agregar ficheros sin revisar y código HTML conteniendo JavaScript, etc. Ésto puede ser empleado con propósitos de uso de Secuencias de Comandos en Sitios Cruzados (Cross-site scripting - XSS), con la posibilidad de obtener acceso completo como administrador. Son capacidades solamente destinadas para administradores y profesores.

Asegúrese, por ello, que confía en todas las personas que figuran en la lista de usuarios de confianza XSS.

Algunos formularios de contenido Multimedia enriquecido, como applets de Flash incrustados, o trozos de Javascript, que los profesores desean usar mejorando sus cursos, utilizan exactamente la misma tecnología que personas malintencionadas en sus ataques basados en Secuencias de Comandos en Sitios Cruzados.

Si su única preocupación fuera la seguridad, no debiera permitirlo. Sin embargo, Moodle está también preocupado con la educación, por lo que es necesario establecer a un compromiso. Históricamente, el compromiso era la confianza en los profesores, creadores de formaciones, y administradores, y podían publicar contenido complejo, pero potencialmente peligroso; por contra, los estudiantes e invitados, de menor o nula confianza, publicaban sin riesgo alguno.

Actualmente, con unos roles parametrizables, es algo más complicado, puesto que hay otros roles, o los permisos de roles estándar se pueden cambiar. Es por ello que se tiene una columna de elementos de riesgo a la derecha de la editar/definir roles, y así, cuando se modifican los roles de estudiante, sea advertido de las consecuencias sobre lo que está haciendo.

Véase también