OneDrive

OneDrive

von Ralph Ballier -
Anzahl Antworten: 4
Nutzerbild von Besonders aktive Moodler

Hallo ihr alle,

mir ist es gelungen, eine Verbindung zwischen Moodle und OneDrive herzustellen. Auf den ersten Blick scheint auch alles zu funktionieren.

Allerdings ist mir folgendes Sicherheitsproblem aufgefallen: wenn man in Moodle das Repo "OneDrive" anklickt, muss man sich mit seinem Microsoft-Konto (Benutzername und Passwort) anmelden. So weit, so gut. Wenn man sich später von Moodle abmeldet und den Browser schließt, dann kommt der nächste, der sich auf demselben Rechner und demselben Browser anmeldet, sofort in das OneDrive-Repo seines Vorgängers ohne Eingabe eines Passworts.

Ich konnte das (bei Chrome) nur über die Funktion "Browserdaten löschen" beheben. Aber wer macht das schon? Gibt es eine bessere Möglichkeit?

Ralph

Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: OneDrive

von Marcus Hoberg -
Hallo Ralph,

meldet sich der "nächste" auf dem gleichen Windows-Profil an? Dann würde ich sage, dass es noch weitere Sicherheitsprobleme gibt.
(Browser-History standardmäßig beim Schließen zu löschen ist immer gut!)

Viele Grüße,
Marcus
Mittelwert:  -
Als Antwort auf Marcus Hoberg

Re: OneDrive

von Ralph Ballier -
Nutzerbild von Besonders aktive Moodler
Halo Marcus,
ich werde es in den nächsten Tagen mal mit verschiedenen Profilen ausprobieren. Meine Beobachtung bezog sich auf meinen häuslichen PC. Da hat es mich schon überrascht
Gruß
Ralph
Mittelwert:  -
Als Antwort auf Ralph Ballier

Re: OneDrive

von Alexander Bias -
Nutzerbild von Besonders aktive Moodler Nutzerbild von Entwickler
Hallo Ralph,

zunächst: Ich habe keine Ahnung wie die Kommunikation des OneDrive Repo unter der Haube zwischen Moodle und OneDrive funktioniert. Ich habe dieses Repo auch nicht im Einsatz.

Dein Bericht erinnert mich aber an https://tracker.moodle.org/browse/MDL-29872 (markiert als "Serious security issue", weshalb Du es wohl nicht anschauen kannst) wo ein vergleichbares Phänomen beim Dropbox Repo von mir im Jahr 2011 gemeldet wurde.

Damals war das Problem, dass der Login-Vorgang in das Dropbox-Repo zwar aus Moodle heraus angestoßen wurde, aber letzten Endes auf dropbox.com durchgeführt wurde und dropbox.com auch ein entsprechendes Session-Cookie auf dem Rechner gesetzt hat. Der Moodle Logout konnte dieses Cookie von Dropbox nicht löschen (aufgrund der Same-Origin-Policy), so dass der nächste Nutzer der sich in Moodle einloggte die Dropbox-Session des vorigen Nutzers wieder aufnahm.

Da Moodle an der Art und Weise wie die Dropbox API funktioniert nichts ändern konnte, haben sie letzten Endes nur einen Hinweis zum Filepicker hinzugefügt, der den Nutzer darauf hinweist dass er sich im Filepicker auch aus Dropbox wieder ausloggen muss. Das ist vergleichbar wie wenn ich ein Schild "Bitte Türe schließen" im Serverraum aufhänge - man kann es machen, muss es aber nicht. Wenn ich es nicht mache, können andere durch die Tür nachkommen und Unfug treiben.

Es ist nun nicht auszuschließen, dass OneDrive dasselbe Problem hat. Ich empfehle Dir, ein Ticket auf https://tracker.moodle.org anzulegen und gerne auch auf MDL-29872 zu verweisen damit die Sache geprüft wird.

Viele Grüße
Alex
Mittelwert: Nützlich (2)
Als Antwort auf Alexander Bias

Re: OneDrive

von Uwe Krüger -

Durch die von Jan Dageförde von der Uni Münster vorangetriebene geschickte Verknüpfung von Moodle und Owncloud bzw. Nextcloud gibt es eine datenschutzfreundlichere  Freie Software Alternative, die eure Anforderungen eventuell übererfüllt.

Mittelwert: Nützlich (1)