Риски: различия между версиями
(Перевел) |
(Замена заголовка) |
||
Строка 10: | Строка 10: | ||
Некоторые возможности позволяют пользователям добавлять непроверенные файлы, HTML код, содержащий JavaScript и т.п. Что может быть потенциально использовано с целью исполнения междоменных сценариев (Cross Site Scripting, XSS) для получения прав администратора. Подобные возможности предназначены только для администраторов и преподавателей. | Некоторые возможности позволяют пользователям добавлять непроверенные файлы, HTML код, содержащий JavaScript и т.п. Что может быть потенциально использовано с целью исполнения междоменных сценариев (Cross Site Scripting, XSS) для получения прав администратора. Подобные возможности предназначены только для администраторов и преподавателей. | ||
== | ==Конфиденциальность== | ||
Некоторые возможности позволяют пользователям получить доступ к чужой частной информации, например непубличная информация в профиле пользователя. Подобные возможности предназначены только для администраторов и преподавателей. | Некоторые возможности позволяют пользователям получить доступ к чужой частной информации, например непубличная информация в профиле пользователя. Подобные возможности предназначены только для администраторов и преподавателей. | ||
Версия от 18:23, 5 декабря 2007
Прежде чем разрешать ту или иную возможность, обратите внимание на риски, возникающие при этом.
Конфигурационный
Некоторые возможности, например такие как moodle/site:doanything, имеют отношение к администрированию, позволя тем самым пользователям изменять поведение и конфигурацию системы.
XSS (Междоменные сценарии, Cross-Site Scripting)
Некоторые возможности позволяют пользователям добавлять непроверенные файлы, HTML код, содержащий JavaScript и т.п. Что может быть потенциально использовано с целью исполнения междоменных сценариев (Cross Site Scripting, XSS) для получения прав администратора. Подобные возможности предназначены только для администраторов и преподавателей.
Конфиденциальность
Некоторые возможности позволяют пользователям получить доступ к чужой частной информации, например непубличная информация в профиле пользователя. Подобные возможности предназначены только для администраторов и преподавателей.
Спам
Некоторые возможности позволяют пользователям контент в систему, например, создавать темы и отвечать на сообщения, отправлять личные сообщения. Что может быть использовано в спамерских целях.
Риски для предопределенных ролей
- Гость - разрешены только возможности без каких-либо рисков
- Ученик - разрешены некоторые возможности с риском спама
- Учитель - разрешены некоторые возможности с XSS и прайвеси рисками
- Администратор - разрешены все возможности.