http://www.suzuka-ct.ac.jp/mech/moodle/mod/wiki/view.php?id=320&page=Shirai062
Moodleに限らず,RSSの仕組みには個人認証の概念がありません.
ゲストが入室できないコースのフォーラムに投稿された内容をそのコースのメンバ以外が閲覧することはできません.しかし,そのフォーラムのRSSを有効にすると,メンバ以外の第三者が(最新の投稿に限られますが)閲覧することが技術的に可能です.RSSフィードを受信するにはRSSリンクアドレスが必要です.標準のMooodleではこのRSSリンクアドレスが暗号化されていませんので,Moodleに関してある一定以上の知識を持つものであればRSSリンクアドレスを推測してRSSフィードを受信できてしまいます.
このことを理解できていない方は,速やかにメンバ以外が入室できないコース内のRSSを全て無効にして下さい.あるいはサイト全体でRSSの使用を禁止(設定で可能です)するべきです.
なお,学生が入室できないコースのRSSはフォーラムのRSS機能を有効にできるにも関わらず,RSSリーダで閲覧不可能です.そのようにコーディングされています.これはセキュリティ上の脆弱さをMoodle HQが理解している証拠です.Moodle2.0ではセキュアなRSSが導入される予定です.まだ実装は完成していないようですが.仕組みは,推測されやすい単純なRSSリンクアドレスを供給するのではなく,暗号化されたRSSリンクアドレスを供給するというもののようです.勿論,RSS自体に個人認証の仕組みがありませんので,暗号化されたRSSリンクアドレスが外部に流出することがあれば,誰でもRSSリードを受信できてしまう点では旧来のシステムと変わりはありません.
fs_moodleではRSSリンクアドレスの暗号化に独自で対応済みです.もしどうしてもRSSを利用しなくてはならない事情がある場合は,fs_moodleを使用するか,その修正箇所(上記アドレスのWikiに全て記載)を参考にしてお手元のMoodleを改造するなどの対策を施して下さい.
全世界に向けて情報を発信しているブログやニュースサイトなどでは問題無いのですが...
あるいは専用のRSSリーダを開発し,Cookieを用いて認証(Cookieが存在しない場合はログイン操作が必要)するなどの対策を行わないと不安は不安ですね.
twitter feedなどのサービスでRSSフィードをTwitterにツイートする場合も注意が必要です.自動的にツイートするアカウントが非公開にロックされていたとしても,Twitterのバグや,フォローを要求してきた第三者を勘違いして受け入れてしまったりすれば,貴重な情報が外部に漏れる恐れがあります.