Seguridad HTTP

De MoodleDocs

En versiones de Moodle anteriores a 3.4, puede habilitarse HTTPS para el ingreso al sitio, por un administrador, en Configuraciones > Administración del sitio > Seguridad > Seguridad HTTP .

Use HTTPS para ingresos (logins)

HTTPS encripta los datos de ingreso del usuario, por lo que se dificulta el robarse el nombre_de_usuario y la contraseña de un usuario en una red. Usted necesitará habilitar HTTPS en su servidor antes de activar esta configuración, o de lo contrario será expulsado de su propio sitio. Cada servidor web tiene un método diferente para habilitar HTTPS, por lo que Usted deberá revisar la documentación de su servidor web.

No se recomienda que use esta configuración, ya que no es segura a pesar de usar HTTPS para los ingresos al sitio.

Tampoco puede Usted usar la configuración de SSL proxy al mismo tiempo.

  • A partir de Moodle 3.4 en adelante, la configuración 'Use HTTPS para ingresos' (loginhttps) ha sido eliminada.
  • existe una Herramienta para conversión a HTTPS para convertir el contenido incrustado a HTTPS.

Solo 'cookies' seguras

Se recomienda usar 'Solo cookie seguras' solamente cuando esté sirviendo sobre SSL. Cuando no se está sirviendo sobre SSL, esta configuración es ignorada. A partir de Moodle 3.1.2 la configuración de 'Solamente cookies seguras' está activada por defecto.

Nota: Urgente de Traducir. ¡ Anímese a traducir esta muy importante página !.     ( y otras páginas muy importantes que urge traducir)

cURL blocked hosts list

This allows you to block Moodle's cURL implementation from accessing the specified hosts, wherever it is used to fetch content (such as by the URL downloader in the file picker). Generally it is recommended that as a minimum this is configured to prevent access to any internal network resources. The following is an example list of hosts which can be configured, which prevents access to various versions of "localhost", as well as an address commonly used by AWS and some other cloud providers to provide meta data about the server instance (169.254.169.254):

127.0.0.0/8
192.168.0.0/16
10.0.0.0/8
172.16.0.0/12
0.0.0.0
localhost
169.254.169.254
0000::1


Note: In addition to configuring this at the application level via this setting, it is also recommended that sufficient firewall/network security measures are in place, including restricting access to internal network endpoints to those users/services that require them.

cURL allowed ports list

This allows you to restrict Moodle's cURL implementation to only access the specified list of port numbers, wherever it is used to fetch content (such as by the URL downloader in the file picker). Generally it is recommended that this is configured to only allow standard web ports, as follows:

80
443

In future, some logical default values such as those above will be configured automatically for new Moodle sites. See MDL-56873 for more details.

Note: In addition to configuring this at the application level via this setting, it is also recommended that sufficient firewall/network security measures are in place, including restricting access to open ports on the internal network to those users/services that require them.


Vea también

  • MDL-55662 for removing the secure cookies only setting
  • Using Moodle Locked out forum discussion