Hallo zusammen,
in der Moodle-Datenbank gibt es eine Tabelle mit dem Namen "mdl_repository_instance_config". Dort sind alle Passwörter und Benutzernamen im Klartext gespeichert, die Webdav-Instanzen betreffen.
Wer zum Beispiel OwnCloud als Webdav-Instanz anlegt, muss dort sein Passwort hinterlegen. In der Regel ist dies das Passwort seines LDAP-Accounts. Das heißt, wer dieses Passwort und den Benutzernamen kennt, hat Zugriff auf alle Webanwendungen, die auf dem LDAP-Account basieren.
Ich halte dies für eine gewaltige Sicherheitslücke.
Gelegentlich sind ja auch Schüler und Studierende in die Administration von Moodle eingebunden, die dann in einem schwachen Moment auf sehr, sehr leichte Weise ihre Vertrauensstellung ausnutzen könnten.
Wer entwickelt diese Webdav-Geschichte? Das Moodle Core-Team? Dann wäre hier blitzartig eine Passwortverschlüsselung angebracht.
Grüße
Klaus Westermann