Utilisateurs XSS fiables

Utilisateurs XSS fiables

par mimi nom,
Nombre de réponses : 7

Bonjour,

En visualisant la page moodle  "Panorama de sécurité", j'ai constaté plusieurs avertissements dont "Utilisateurs XSS fiables". Il m'est demandé de vérifier si je fais confiance à un grand nombre d'utilisateurs. Je voudrai savoir si cela a un lien avec  l'activation de la propriété "Activer le système Contenu fiable"

Est-ce que si je désactive cette propriété, je n’aurait plus cet avertissement?

Je ne sais pas si j'ai bien compris, si je désactive cette propriété, personne ne pourra ajouter du code html ou bien java script dans les zones où on peut éditer du texte c'est ça?


Je vous pris de bien vouloir m'éclairer un peux plus sur ce sujet c'est important

Merci

Moyenne des évaluations  -
En réponse à mimi nom

Re: Utilisateurs XSS fiables

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Non, la désactivation de « Activer le système Contenu fiable » ne va pas changer cela.

Cet avertissement est dû au fait que les utilisateurs avec un rôle d'enseignant ont la possibilité de publier des contenus (p.ex. HTML, Flash, etc.) permettant des attaques XSS. Il est destiné à  informer les administrateurs qu'une telle possibilité existe.

La seule façon de désactiver cet avertissement est de n'avoir aucun utilisateur avec le rôle enseignant ou des rôles plus puissants.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Utilisateurs XSS fiables

par mimi nom,

Peut-on empêcher les enseignants d'ajouter ces contenus en leurs accordant pas la capacité « Se fier aux contenus » ?


D'après ce que j'ai lu (ci-dessous), on peut accorder cette capacité à un rôle:

 (Par défaut, Moodle nettoie soigneusement tous les fichiers déposés et textes saisis par les utilisateurs, afin d'en retirer les éventuels scripts, médias, etc. pouvant constituer une faille de sécurité. Le système « Contenu fiable » vous permet de donner à certains utilisateurs en qui vous avez confiance la capacité d'inclure sans interférence de tels éléments dans leurs ressources. Pour faire fonctionner ce système, veuillez d'abord l'activer ici, puis accorder la capacité « Se fier aux contenus » à un rôle spécifique. Les textes créés ou déposés par des utilisateurs ayant ce rôle seront marqués comme fiables et ne seront alors pas nettoyés avant leur affichage. )

Moyenne des évaluations  -
En réponse à mimi nom

Re: Utilisateurs XSS fiables

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Non, cela signifierait empêcher les enseignants de donner leur cours. Il faut faire confiance aux enseignants. Un système scolaire qui ne leur ferait pas confiance serait par ailleurs un sérieux aveu d'échec.

En accordant la capacité « Se fier aux contenus », vous allez au contraire devoir leur faire encore plus confiance, puisqu'alors les contenus ne seront plus nettoyés.

PS. Le nom de cette capacité est mauvais. Je peux le dire carrément, puisque c'est moi qui l'ai baptisée ainsi, faute d'imagination sans doute. Si quelqu'un à une proposition, je serais preneur. Il faut une expression brève pour dire que la personne peut saisir des contenus éventuellement dangereux, mais qu'on veut quand même l'autoriser à le faire parce que l'on a confiance en elle.

PS2. L'expression « la personne peut saisir des contenus éventuellement dangereux, mais qu'on veut quand même l'autoriser à le faire parce que l'on a confiance en elle » n'entre pas en ligne de compte sourire

Moyenne des évaluations Utile (1)
En réponse à Nicolas Martignoni

Re: Utilisateurs XSS fiables

par Séverin Terrier,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Quelques propositions :

  • "Utiliser des contenus avancés"
  • "Utiliser des contenus à risque"
  • "Utiliser des contenus potentiellement dangereux" ?

Séverin

Moyenne des évaluations Utile (1)
En réponse à Séverin Terrier

Re: Utilisateurs XSS fiables

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

« Utiliser des contenus potentiellement dangereux » me paraît bon.

Je ne corrige pas encore ; peut-être que d'autres idées seront proposées.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Utilisateurs XSS fiables

par Séverin Terrier,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs
Bonjour,

Je retombe un peu par hasard sur cette discussion, et après vérification, m'aperçois qu'elle est toujours d'actualité. Du coup, est-ce qu'il y a d'autres propositions ?
Sinon, on pourrait peut-être prévoir un renommage de cette fonctionnalité ?

Séverin
Moyenne des évaluations  -
En réponse à Séverin Terrier

Re: Utilisateurs XSS fiables

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Merci pour le rappel, j'avais complètement oublié. C'est maintenant corrigé, avec « Utiliser des contenus potentiellement dangereux ».

Moyenne des évaluations Utile (2)