Риски: различия между версиями
(Статья создана) |
(Перевел) |
||
Строка 1: | Строка 1: | ||
{{Роли}} | {{Роли}} | ||
Прежде чем разрешать ту или иную возможность, обратите внимание на риски, возникающие при этом. | |||
== | ==Конфигурационный== | ||
Некоторые возможности, например такие как [[Возможности/moodle/site:doanything|moodle/site:doanything]], имеют отношение к администрированию, позволя тем самым пользователям изменять поведение и конфигурацию системы. | |||
==XSS (Междоменные сценарии, Cross-Site Scripting)== | ==XSS (Междоменные сценарии, Cross-Site Scripting)== | ||
Некоторые возможности позволяют пользователям добавлять непроверенные файлы, HTML код, содержащий JavaScript и т.п. Что может быть потенциально использовано с целью исполнения междоменных сценариев (Cross Site Scripting, XSS) для получения прав администратора. Подобные возможности предназначены только для администраторов и преподавателей. | |||
==Прайвеси== | ==Прайвеси== | ||
Некоторые возможности позволяют пользователям получить доступ к чужой частной информации, например непубличная информация в профиле пользователя. Подобные возможности предназначены только для администраторов и преподавателей. | |||
==Спам== | ==Спам== | ||
Некоторые возможности позволяют пользователям контент в систему, например, создавать темы и отвечать на сообщения, отправлять личные сообщения. Что может быть использовано в спамерских целях. | |||
==Риски для предопределенных ролей== | ==Риски для предопределенных ролей== | ||
* | * Гость - разрешены только возможности без каких-либо рисков | ||
* | * Ученик - разрешены некоторые возможности с риском спама | ||
* | * Учитель - разрешены некоторые возможности с XSS и прайвеси рисками | ||
* | * Администратор - разрешены все возможности. | ||
==См. также== | ==См. также== |
Версия от 13:46, 15 октября 2007
Прежде чем разрешать ту или иную возможность, обратите внимание на риски, возникающие при этом.
Конфигурационный
Некоторые возможности, например такие как moodle/site:doanything, имеют отношение к администрированию, позволя тем самым пользователям изменять поведение и конфигурацию системы.
XSS (Междоменные сценарии, Cross-Site Scripting)
Некоторые возможности позволяют пользователям добавлять непроверенные файлы, HTML код, содержащий JavaScript и т.п. Что может быть потенциально использовано с целью исполнения междоменных сценариев (Cross Site Scripting, XSS) для получения прав администратора. Подобные возможности предназначены только для администраторов и преподавателей.
Прайвеси
Некоторые возможности позволяют пользователям получить доступ к чужой частной информации, например непубличная информация в профиле пользователя. Подобные возможности предназначены только для администраторов и преподавателей.
Спам
Некоторые возможности позволяют пользователям контент в систему, например, создавать темы и отвечать на сообщения, отправлять личные сообщения. Что может быть использовано в спамерских целях.
Риски для предопределенных ролей
- Гость - разрешены только возможности без каких-либо рисков
- Ученик - разрешены некоторые возможности с риском спама
- Учитель - разрешены некоторые возможности с XSS и прайвеси рисками
- Администратор - разрешены все возможности.