Cosas de Administradores

Acceso al perfil de cualquier usuario sin acceder a la plataforma

 
Imagen de Eduardo Hm
Acceso al perfil de cualquier usuario sin acceder a la plataforma
 

Buenas tardes,


Tengo una duda que me urge ya que estan realizando una auditoria en las plataformas las cuales administramos y ha detectado el siguiente problema que puede vulnerar la LOPD.


La cuestión es que usando la URL www.tudominio.com/moodle/user/profile.php?id=31507 puedes acceder al perfil del usuario con el identificador correspondiente que se le pasa como parámetro en la URL. He comprobado que se da con todos los usuarios que aleatoriamente he cambiado el id en la URL para ver la parte del perfil del usuario, tal y como se muestra en la captura de pantalla, se puede ver como yo puedo ver el perfil del usuario sin estar logueado dentro de la plataforma.


La instancia Moodle que se administra es un Moodle en versión 3.1.6. ¿Es problema de algun parametro de seguridad no configurado en Moodle?


Muchas gracias de antemano.


 
Promedio de calificaciones: -
FOTOCARNET
Re: Acceso al perfil de cualquier usuario sin acceder a la plataforma
Grupo Moodlers de gran ayuda

Si, es un problema de configuración, si no permites que los invitados no puedan acceder evitas este problema 



 
Promedio de calificaciones:Útil (1)
Randy Thornton
Re: Acceso al perfil de cualquier usuario sin acceder a la plataforma
Grupo DocumentadoresGrupo Moodlers de gran ayuda


Hola, Eduardo

¿Cuál es el valor del ajuste Admin. del sitio > Seguridad > Políticas del sitio > Forzar a los usuarios a identificarse para ver los perfiles? Parece que se ha deshabilitado.


Saludos,

Randy

 
Promedio de calificaciones:Útil (1)
Imagen de Eduardo Hm
Re: Acceso al perfil de cualquier usuario sin acceder a la plataforma
 

Muchas gracias Randy,


Efectivamente eso era lo que estaba buscando pero no sabía donde se encontraba. Lo que si me resulta algo ilógico que por defecto los perfiles de los usuarios puedan ser publicos y vistos por todo el mundo que conozca la URL particular, ya que esto estará vulnerando la Ley de Protección de Datos en el caso que el usuario añada mas información en su perfil de Moodle.


Saludos.

 
Promedio de calificaciones: -
Randy Thornton
Re: Acceso al perfil de cualquier usuario sin acceder a la plataforma
Grupo DocumentadoresGrupo Moodlers de gran ayuda


Eduardo,

Bueno, bueno.  

Pero creo que por defecto el valor de este ajuste es 'Sí' y así los perfiles no pueden vistos sin acceder al sitio,  ¿no?

(Por otro lado es verdad que por defecto el método de matriculación de 'Accesso de invitados' está habilitado. Yo lo deshabilito siempre en nuevos sitios al principio.)

Con respecto a la Ley de Protección de Datos y Moodle, hay un hilo interesante aquí sobre eso: https://moodle.org/mod/forum/discuss.php?d=352538. En veras creo que a Moodle le hace falta mejorar unos ajustes antes mayo próximo, especialmente los de datos de alumnos como ese ajuste.

Saludos



 
Promedio de calificaciones:Útil (1)