Kokapena: Kudeaketa> Txostenak> Segurtasunaren ikuspegi orokorra

Segurtasunaren ikuspengi orokorra txostena Moodle 1.8.9-n eta 1.9.4-tik aurrerakoetan eskura daiteke.

Segurtasunaren ikuspegi orokorra

• Erregistro orokorrak

register_globals Moodle behar bezala aritzeko desgaituta egon behar duen PHP ezarpena da.

• dataroot ez da segurua

dataroot Moodle-k erabiltzaileen fitxategiak gordetzeko erabiltzen duen direktorioa da. Ez du egon behar web-etik zuzenean eskuratzeko moduan.

• PHP erroreak erakustea

PHP erroreak erakusten ezarrita badago, edozeinek sar dezake URL desegoki bat eta lortu PHP-k direktorioen egiturari buruzko informazio garrantzitsua ematea.

• Autentifikaziorik ez

"Autentifikaziorik ez" plugin-aren erabilera arriskutsua izan daiteke, jendeari gunean autentifikatu gabe sartzeko aukera emanda.

• Baimendu EMBED eta OBJECT

Ohiko erabiltzaileei euren testuetan Flash eta bestelako mediak (adib, foroetako mezuetan) enbotatzen utzita arazoak sor daitezke; izan ere, media objektu horiek kudeatzaile edo irakaslearen sarbide-datuak lapurtzeko erabil daitezke, baita media objektua beste zerbitzari batean badago ere.

• .swf media iragazkia gaituta

Flash media iragazkia flash fitxategi maltzurrak sartzeko ere erabil daiteke.

• Zabaldu erabiltzaileen profilak

Erabiltzaileen profilak ez dira web-ean zabalik egon behar autentifikaziorik gabe, bai pribatutasun arrazoiengatik bai spam sortzaileek zure gunean spam-a zabaltzeko plataforma bat izango luketeelako.

• Zabaldu Google-ri

Google-ri zure gunean sartzen utzita eduki guztiak mundu osoak eskuratzeko moduan ipiniko dituzu. Ez erabili hau benetan gune publikoa ez bada.

• Pasahitzen politika

Pasahitzen politika erabilita behartu egiten dituzu zure erabiltzaileak pasahitz bereziak erabiltzera eta zaildu egingo duzu kanpokoek gaizki erabili ahal izatea.

• E-posta aldaketaren baieztatzea

Orokorrean beti behartu beharko zenituzke erabiltzaileak e-posta helbidearen aldaketak baieztatzeko beste pausu bat emanez. Konfirmazio-esteka bidaliko zaio horretarako erabiltzaileari.

• config.php idaz daiteke

config.php fitxategia ez idazteko moduan egon behar du web zerbitzariaren prozesutik. Bestela, kanpoko gaizkileek aukera izango dute sartu eta Moodle-kodea berridazteko eta nahi dutena erakusteko.

• XSS trusted users

Ziurtatu zerrendako guztienganako konfidantza: hauxek bakarrik dute foro eta abarretan XSS moduan idazteko baimena.

• Kudeatzaileak

Berrikusi zure kudeatzaile-kontuak eta ziurtatu behar dituzunak bakarrik dituzula.

• Erregistratutako erabiltzailea rola

Honek konprobatzen du erregistratutako erabiltzailea rola baimen egokiekin definituta dagoela.

• Bisitaria rola

Honek konprobatzen du bisitaria rola baimen egokiekin definituta dagoela.

• Hasiera-orriko rola

Honek konprobatzen du hasiera-orriko erabiltzailearen rola baimen egokiekin definituta dagoela.

• Ikastaroko berezko rola (orokorra)

Honek konprobatzen du ikastaroko berezko rola baimen egokiekin definituta dagoela.

• Berezko rolak (ikastaroak)

Ezarpen honek jakinarazten dizu ikastaroren batek garai bateko ikastaroko berezko rol zaharren bat erabiltzen duela.

Ikusi halaber

• Using Moodle-ko Security and Privacy forum