セキュリティレビューについて

セキュリティレビューについて

- Tatsuya Shirai の投稿
返信数: 14

 私は全く気付いていなかったのですが,「サイト管理」の中の[レポート]に[セキュリティレビュー]という項目が増えていますね.本校の情報処理センターの管理者より,クリティカルな項目がいくつかある(全学利用のMoodle)が,白井の管理しているMoodleではどうか?という問い合わせがありました.私の管理しているものの方が沢山の警告とクリティカルがありました...

 みなさんのところではどうでしょうか?

 ”危険なケイパビリティが設定されている”とのことで,ロールの権限を調べてみたのですが,標準設定通り(確かに警告通りにクリティカルなものもありますが...)で,原因が分からないものもあります.

#さらに詳しく調べようとするとエラー(PHPの)が出たりもしますので,まだ開発途上かとも思ったのですが,やはりクリティカルと言われると心配です.

添付 securityReview.jpg
評点平均: -
Tatsuya Shirai への返信

Re: セキュリティレビューについて

- Tatsuya Shirai の投稿

 たとえば一番上の”すべてのユーザのデフォルトロール”: 「デフォルトユーザロール「認証済みユーザ」は,正しくない定義です!」とあります.

 ユーザポリシーのページで確認すると,”すべてのユーザのデフォルトロール”は確かに「認証済みユーザ」を選択しています.でも,デフォルトは「認証済みユーザ」であると記述されているのですが...

 ちなみにセキュリティレビューのコメントでは,「すべてのログインユーザには、

デフォルトのユーザロールのケイパビリティが割り当てられます。このロールにリスクのあるケイパビリティが許可されているかどうか確認してください。

デフォルトのユーザロールでサポートされているレガシータイプのロールは「認証ユーザ」のみです。コース閲覧ケイパビリティは、有効にしないでください。

とのこと.「認証済みユーザ」と「認証ユーザ」は同じもののことですよね.認証済みユーザのケイパビリティに問題がある?

評点平均: -
Tatsuya Shirai への返信

Re: セキュリティレビューについて

- Takahiro Kagoya の投稿
十分理解しているわけではないですが、
手元の管理しているmoodleサイトでは、Okとなっています。
「すべてのユーザのデフォルトロール」では、「認証済みユーザ」です。
となると、先生の書かれているとおり、ケイパビリティがデフォルトでなくなって変更してあるとか?


------
たぶん、「認証済みユーザ」と「認証ユーザ」両方あるのは、和訳ミスかもしれません。

言語編集で探すと何カ所か、認証ユーザとなっています。
どちらもauthenticated user でしょうけど。

評点平均: -
Takahiro Kagoya への返信

Re: セキュリティレビューについて

- Tatsuya Shirai の投稿

 検証ありがとうございます.

 密かに「バグではないか?」と疑っていたのですが...

 Kagoya先生のところはMoodle1.7からのバージョンアップですか? それともMoodle1.8/1.9からのインストールですか?

評点平均: -
Tatsuya Shirai への返信

Re: セキュリティレビューについて

- Takahiro Kagoya の投稿
今、手元のmoodleは、別の人から引き継いだものですが、たぶんバージョンアップを繰り返しているものです。1.94

以前利用させていただいていたfs_moodleは、バージョンが古い?のか、セキュリティレポートそのものがないですね。20080402

評点平均: -
Takahiro Kagoya への返信

Re: セキュリティレビューについて

- Tatsuya Shirai の投稿

 ありがとうございます.そうですか.

 時間ができましたら,なぜクリティカルと表示されるのかをソースの側から追ってみようと思います.やはり問題があると言われるのは悔しいですからね.

評点平均: -
Tatsuya Shirai への返信

Re: セキュリティレビューについて

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators
白井先生、篭谷先生

> 「認証済みユーザ」と「認証ユーザ」は同じもののことですよね.

ご指摘ありがとうございます。
「authenticated user」をすべて「認証済みユーザ」に修正させて頂きました。

調べましたところ、下記のとおり、明らかに誤訳でした。赤面

認証済みユーザ
言語ファイル: moodle.php
言語ストリング: authenticateduser
原文:
Authenticated user
日本語訳:
認証済みユーザ
-----

言語ファイル: admin.php
言語ストリング: configdefaultuserroleid
原文 (一部):
The default is the Authenticated user role (or Guest role in older versions).
日本語訳 (一部):
デフォルトは、認証済みユーザロール (または古いバージョンのゲストロール) です。

-----

言語ファイル: auth_mnet.php
言語ストリング: sso_idp_description
原文 (一部):
Subscribe to this service to allow authenticated users from $a to access your site without having to re-login.
日本語訳 (一部):
このサービスに登録することで、$a からの認証済みユーザは、再度ログインせずにあなたのサイトにアクセスできます。

-----

言語ファイル: auth_mnet.php
言語ストリング: sso_sp_description
原文 (一部):
Publish this service to allow authenticated users from $a to access your site without having to re-login.
日本語訳 (一部):
このサービスを公開することで、$a からの認証済みユーザは、再度ログインせずにあなたのサイトにアクセスできます。

-----

言語ファイル: role.php
言語ストリング: sso_sp_description
原文:
LEGACY ROLE: Authenticated user
日本語訳:
レガシーロール: 認証済みユーザ


認証ユーザ
言語ファイル: admin.php
言語ストリング: mnetrestore_extusers_switchuserauth
原文:
Remote Moodle Network user $a->username (coming from $a->mnethosturl) switched to local $a->auth authenticated user.
日本語訳:
リモートMoodleネットワークユーザ $a->username ($a->mnethosturl) がローカル $a->auth 認証ユーザに切り替えられました。

-----

言語ファイル: auth_cas.php
言語ストリング: mnetrestore_extusers_switchuserauth
原文:
Turn this on if you want to insert CAS-authenticated users in Moodle database. If not then only users who already exist in the Moodle database can log in.
日本語訳:
MoodleデータベースにCAS認証ユーザを追加したい場合、「Yes」を選択してください。「No」を選択した場合、Moodleデータベースに登録されているユーザのみログインできます。

-----

言語ファイル: portfolio_mahara.php
言語ストリング: pf_description
原文 (一部):
Subscribe to this service to allow authenticated users in your site to push content to $a
日本語訳 (一部):
このサービスに登録することで、あなたのサイトの認証ユーザが $a にコンテンツを送信することを許可します。

-----

言語ファイル: report_security.php
言語ストリング: check_defaultuserrole_details
原文 (一部):
The only supported legacy type for the default user role is <em>Authenticated user</em>. The course view capability must not be enabled.
日本語訳 (一部):
デフォルトのユーザロールでサポートされているレガシータイプのロールは「認証ユーザ」のみです。コース閲覧ケイパビリティは、有効にしないでください。

評点平均: -
Mitsuhiro Yoshida への返信

Re: セキュリティレビューについて

- Tatsuya Shirai の投稿

 ありがとうござます! さすがは吉田さん,迅速です.

 ある日突然,認証済みユーザというものが現れ,よく分からないまま運用を続けています^^;
 ログイン済みのゲスト以外のユーザかな?程度の認識です.学生よりも権限が弱いのかな?

評点平均: -
Tatsuya Shirai への返信

Re: セキュリティレビューについて

- Koji HACHIMAN の投稿

現在 Moodle 3.8ですが、いまだ「クリティカル」でこのメッセージが出ています。

> デフォルトユーザロール「 認証済みユーザ 」は正しくない定義です!

サーバ年度に新規で作成しているのですが、何が問題なのかわかっていません。; ;


評点平均: -
Koji HACHIMAN への返信

Re: セキュリティレビューについて

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

よろしければ以下の手順をお試しください。

  1. サイト管理者としてMoodleにログインする。
  2. 「管理 > サイト管理 > ユーザ > パーミッション > ロールを定義する」ページに移動する。
  3. 「認証済みユーザ」リンクをクリックする。
  4. 「ロール「 認証済みユーザ 」定義の表示」の下にある「編集」ボタンをクリックする。
  5. 「フィルタ」テキストボックスに「tool/dataprivacy:requestdelete」を入力する。
  6. 「あなた自身のデータ削除リクエスト tool/dataprivacy:requestdelete」の「パーミッション」の「許可」のチェックを外す。
  7. 「変更を保存する」ボタンをクリックする。
  8. 「管理 > サイト管理 > レポート > セキュリティ概要」ページに移動する。
  9. 「すべてのユーザのデフォルトロール」のステータスに「OK」が表示されていることを確認する。
添付 requestdelete.png
評点平均:有益(Useful) (1)
Mitsuhiro Yoshida への返信

Re: セキュリティレビューについて

- Koji HACHIMAN の投稿
試してみましたが。
「クリティカル」のままでした。
評点平均: -
Koji HACHIMAN への返信

Re: セキュリティレビューについて

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

ご確認頂きまして、ありがとうございます。

Moodle 3.8.2+ (Build: 20200417) をクリーンインストールして、ロール「 認証済みユーザ 」のケイパビリティ「あなた自身のデータ削除リクエスト tool/dataprivacy:requestdelete」の「パーミッション」の「許可」のチェックを外してみましたが、「セキュリティ概要」レポートでの「すべてのユーザのデフォルトロール」のステータスは「クリティカル」から「OK」に変わるようです。

以下のSQL文により、現在お使いの環境で「クリティカル」の原因となっているケイパビリティを特定できるかと思います。

SELECT * FROM mdl_role_capabilities rc JOIN mdl_capabilities cap ON cap.name = rc.capability WHERE ((cap.riskbitmask) & (38)) <> 0 AND rc.permission = 1 AND rc.roleid = 7

評点平均:有益(Useful) (1)
Mitsuhiro Yoshida への返信

Re: セキュリティレビューについて

- Koji HACHIMAN の投稿
以下の結果になりました。

+------+-----------+--------+-------------------------------+------------+--------------+------------+-----+-------------------------------+---------+--------------+-----------+-------------+
| id | contextid | roleid | capability | permission | timemodified | modifierid | id | name | captype | contextlevel | component | riskbitmask |
+------+-----------+--------+-------------------------------+------------+--------------+------------+-----+-------------------------------+---------+--------------+-----------+-------------+
| 1337 | 1 | 7 | moodle/webservice:createtoken | 1 | 1586617810 | 4 | 164 | moodle/webservice:createtoken | write | 10 | moodle | 62 |
| 1325 | 3 | 7 | moodle/course:changecategory | 1 | 1586258084 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1319 | 35 | 7 | moodle/course:changecategory | 1 | 1586257882 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1318 | 37 | 7 | moodle/course:changecategory | 1 | 1586257724 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1320 | 38 | 7 | moodle/course:changecategory | 1 | 1586257913 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1324 | 39 | 7 | moodle/course:changecategory | 1 | 1586258063 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1321 | 126 | 7 | moodle/course:changecategory | 1 | 1586257945 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1326 | 224 | 7 | moodle/course:changecategory | 1 | 1586258108 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1323 | 274 | 7 | moodle/course:changecategory | 1 | 1586258020 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1322 | 275 | 7 | moodle/course:changecategory | 1 | 1586257972 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
| 1327 | 4961 | 7 | moodle/course:changecategory | 1 | 1586341533 | 2 | 87 | moodle/course:changecategory | write | 50 | moodle | 4 |
+------+-----------+--------+-------------------------------+------------+--------------+------------+-----+-------------------------------+---------+--------------+-----------+-------------+
評点平均: -
Koji HACHIMAN への返信

Re: セキュリティレビューについて

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

ご確認頂きまして、ありがとうございます。

ケイパビリティ (capability)「moodle/course:changecategory」の部分ですが、もしかしましたら、以下の投稿の手順に従って、複数のコースカテゴリで「認証済みユーザ」に対してケイパビリティ「コースカテゴリを変更する moodle/course:changecategory」を「許可」にされていませんでしょうか?

[Re: Moodle 3.5.4 作成したコースのカテゴリが変更できない問題]
https://moodle.org/mod/forum/discuss.php?d=384045#p1547908

また、ケイパビリティ (capability)「moodle/webservice:createtoken」に関しましては「管理 > サイト管理 > ユーザ > パーミッション > ロールを定義する」ページで「認証済みユーザ」に対してケイパビリティ「ウェブサービストークンを作成するmoodle/webservice:createtoken」が「許可」にされているかどうかご確認ください。

評点平均: -
Mitsuhiro Yoshida への返信

Re: セキュリティレビューについて

- Koji HACHIMAN の投稿
> ケイパビリティ (capability)「moodle/course:changecategory」の部分ですが、もしかしましたら、以下の投稿の手順に従って、複数のコースカテゴリで「認証済みユーザ」に対してケイパビリティ「コースカテゴリを変更する moodle/course:changecategory」を「許可」にされていませんでしょうか?

はい、まさにご指摘の投稿を参考に、設定しました。

>また、ケイパビリティ (capability)「moodle/webservice:createtoken」に関しましては「管理 > サイト管理 > ユーザ > パーミッション > ロールを定義する」ページで「認証済みユーザ」に対してケイパビリティ「ウェブサービストークンを作成するmoodle/webservice:createtoken」が「許可」にされているかどうかご確認ください。

確認したところ「許可」になっていました。
ここは、Office 365 関係のプラグインを設定した際に、「許可」にしたと思います。
評点平均: -