ユーザープロファイルに対するパーミションのオーバーライド

ユーザープロファイルに対するパーミションのオーバーライド

- たなか くん の投稿
返信数: 5
通常ユーザープロファイルを閲覧するには、学生以上のロールが必要と理解しています。
しかし当方では、Moodleのコースを閲覧している全てのゲストに対して、一部の教師のプロファイルを公開しそれを見せることで、ユーザ登録を促すきっかけにしたいと考えています。

一部の教師のプロファイルをゲストに公開するために、
  1. 公開させたいユーザーのプロファイル画面でパーミションのオーバーライドを選び
  2. ゲストのロールをオーバーライドするを選択し、
  3. 「すべてのユーザーブログを表示する」「すべてのユーザー投稿を表示する」を「継承」から「許可」に変更する。
という手順は間違っていますでしょうか?
実はこれをやっても状況が変わらず、ゲストがプロファイルにアクセスしようとすると通常のアカウント作成画面になってしまっています。

正直なところ「すべてのユーザーブログを表示する」「すべてのユーザー投稿を表示する」を許可に変えても、「ユーザープロファイル画面の閲覧許可」とは関係が無いように思うのですが、それに相当する選択肢がないため悩んでいます。

宜しくお願いします。


評点平均: -
たなか くん への返信

Re: ユーザープロファイルに対するパーミションのオーバーライド

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators
現在のパーミッションのオーバーライドを元に戻した後、下記の手順をお試しください。
  1. 「サイト管理 > セキュリティ > サイトポリシー」にアクセスする。
  2. 「プロファイル閲覧時にユーザのログインを強制する (forceloginforprofiles)」の選択を解除する。
  3. 「変更を保存する」ボタンをクリックする。
評点平均: お役立ち度: ★★★★★★★ (2)
Mitsuhiro Yoshida への返信

Re: ユーザープロファイルに対するパーミションのオーバーライド

- たなか くん の投稿
ありがとうございます!
完璧に見落としていました。
評点平均: -
たなか くん への返信

Re: ユーザープロファイルに対するパーミションのオーバーライド

- Tatsuya Shirai の投稿

> 一部の教師のプロファイルをゲストに公開するために、

 一応,確認された方が良いです.
 一部の教師のプロファイルだけではなく,全てのユーザのプロファイルがゲストから閲覧可能になる恐れがあります.

評点平均: お役立ち度: ★★★★★★★ (1)
Tatsuya Shirai への返信

Re: ユーザープロファイルに対するパーミションのオーバーライド

- たなか くん の投稿
アドバイスありがとうございます。
ここでおっしゃられている「閲覧可能の恐れ」ですが、コースカテゴリーで表示されているコースごとの講師は見られます。しかし所謂「ユーザーリスト表示」は管理者のみのアクセス権限ですので、表面上はゲストは見えません。他にゲストがユーザーリストを見れてしまう場所なりメニューなりがどこにあるか見つけられないのですがご指摘いただけますでしょうか?

それともこの設定をしてしまうとセキュリティホールのように予期しない方法で見える可能性がある、という意味合いでしょうか?

あまり例外的な設定はしたくないのですが、安全を考えれば公開したいプロフィールは別途然るべき場所に書け、ということでしょうかね・・・。
評点平均: -
たなか くん への返信

Re: ユーザープロファイルに対するパーミションのオーバーライド

- Tatsuya Shirai の投稿

 私も確認したわけではありません.

 ユーザリスト一覧(たとえば「サイト管理ブロック」や各コースの「ロールの割り当て」)以外にも,ユーザのプロファイルにアクセスする手段は沢山あります.「人」ブロックや「オンラインユーザ」ブロックなどはコース内に配置してあればコースに入室することができないのであれば閲覧できませんが,もしフロントページに配置してあれば,ゲストでも表示されているユーザのプロファイルに容易にアクセスできるでしょう.フォーラムの投稿者名をクリックして閲覧することも可能です.

 でも,それ以外にも,

http://moodle.org/user/view.php?id=236280

このようにユーザID(上記はmoodle.orgにおける私のユーザID)を指定することでアクセスできる可能性があります.可能であれば,悪意ある第三者が,ユーザIDを自動的にカウントアップしてアタックを仕掛けて...あとは省略します.

 当初の目的どおりに,設定次第で指定したユーザのプロファイルだけ公表可能にできるのかも知れません.もし標準ではできなくても,改造することは,多分,意外と簡単にできると思います.ですので,色々と実験を行ってみて下さい.無闇に脅かすのが狙いではありません.「あ,こんな要望があるんだぁ」と,どちらかと言いますと私は肯定的に興味を持ちました.

評点平均: お役立ち度: ★★★★★★★ (1)