セキュリティFAQ
内容
- 1 セキュリティ問題をどのように報告しますか?
- 2 どうすれば自分のサイトを安全に保つことができますか?
- 3 最近のセキュリティ問題を追跡するにはどうすればよいですか。
- 4 トラッカーでセキュリティ問題を見ることができるのは誰ですか?
- 5 Moodleのどのバージョンがサポートされていますか?
- 6 私のサイトはハッキングされました。私は何をしますか?
- 7 どうやってMoodleのスパムを減らすことができますか?
- 8 どうやってMoodleのプライバシーを高めることができますか?
- 9 どうすればreCAPTCHAを有効にできますか?
- 10 セキュリティ概要レポートを実行する方法を教えてください。
- 11 私はクロスサイトスクリプティング(XSS)がMoodleで可能であることを発見しました
- 12 関連情報
セキュリティ問題を報告するにはどうすればいいですか?
セキュリティ問題を報告する方法の詳細についてはdevドキュメントのMoodleセキュリティ手順をご覧ください。
以前に修正されたセキュリティ問題はMoodle.orgセキュリティニュースにリストされています。問題が解決されたかどうかわからない場合は、とにかく報告するのが最善です。
自分のサイトを安全に保つ方法は?
常に使用しているバージョンの最新の安定版リリースを使用することをお勧めします。 Moodle 2.X.1から2.Xブランチの最新バージョンへのアップグレードなど、使用しているブランチの最新バージョンにアップグレードしても安全です。 Git経由でダウンロードすると、これを簡単に行うことができます。
最近のセキュリティ問題を追跡するにはどうすればよいですか。
- あなたのMoodleサイトをmoodle.orgに登録してください 。セキュリティの問題やアップデートについて通知を受けるオプションを必ず有効にしてください。あなたの登録が承認された後、あなたのEメールアドレスは自動的に私達の少量のセキュリティ警告メーリングリストに追加されます。
- 結局、すべての重要なセキュリティ問題はMoodle Securityフォーラムを通して一般に公開されます。フォーラムを購読するか、Twitterでmoodlesecurityをフォローすることができます。
だれがトラッカーのセキュリティ問題を見ることができますか?
Trackerの問題のセキュリティレベルに応じて、アクセスは開発者、テスター、またはセキュリティチームのメンバーに制限されます。
どのバージョンのMoodleがサポートされていますか?
現在サポートされているバージョンはdownload.moodle.orgに記載されています 。
私のサイトはハッキングされました。私は何をしますか?
ハッキングされたサイトの復旧を参照してください。
Moodleでスパムを減らすにはどうすればいいですか?
Moodleでスパムを減らすをご覧ください。
どうやってMoodleのプライバシーを高めることができますか?
Moodleでプライバシーを高めるをご覧ください。
reCAPTCHAを有効にするにはどうすればいいですか?
CAPTCHA要素を使用して、 電子メールベースの自己登録新規アカウントフォームにスパム防御を追加するには
- https://recaptcha.netからアカウントにサインアップし (無料)、ドメインに入ることによってreCAPTCHAキーを取得します。
- コピーとは>>プラグイン>認証管理で管理する認証共通設定でrecaptchapublickeyとrecaptchaprivatekeyフィールドに提供される公開鍵と秘密鍵を貼り付け、認証を管理します 。
- ページ下部の[変更を保存]ボタンをクリックしてください。
- [管理]> [プラグイン]> [認証]> [認証の管理]で電子メールベースの自己登録の設定リンクをたどり、reCAPTCHA要素を有効にします。
- ページ下部の[変更を保存]ボタンをクリックしてください。
セキュリティ概要レポートを実行する方法
セキュリティ概要レポートを実行するには、 [管理]> [サイト管理]> [レポート]> [セキュリティ概要]の順に選択します 。
私はクロスサイトスクリプティング(XSS)がMoodleで可能であることを発見しました
教師がコースを強化するために使用するリッチコンテンツの形式には、悪意のあるユーザがクロスサイトスクリプティング攻撃に使用できるものと同じテクノロジが使用されています。もしMoodleがセキュリティだけに関心があるのなら、それは許されないでしょう。しかし、Moodleは教育にも関心を持っているため、システムの保護と教師のニーズへの支援との間でバランスをとる必要があります。
リッチな教育用コンテンツの作成とシステムのセキュリティ保護のバランスをとるために、ポストXSS対応コンテンツへのアクセスは、「XSSリスク」のフラグが立てられた機能によって制御されます - リスクを参照してください。一般に、管理者と教師はXSS対応のコンテンツを投稿できますが、学生は投稿できません - XSS_trusted_usersを参照してください。
時折、MoodleのXSS対応コンテンツの処理にセキュリティバグが発見され、 責任ある開示を通じてこれらを報告していただいたコミュニティにとって、私たちは非常に嬉しいものです。 XSSのバグをMoodleに報告する前に、XSSコンテンツを投稿しているユーザーにXSSリスクのフラグが立てられた機能がないことを確認してください。
関連情報
- Moodle セキュリティとプライバシーフォーラムの使用
