Hallo zusammen,
ein besorgter Kollege hat mir folgende Mail nach einem Einführungskurs von moodle für die Mitarbeitenden geschrieben:
Sehr geehrte Damen und Herren,
Als wir im Rahmen der Moodle-Ersteinweisung aufgefordert wurden, die Möglichkeiten des Textfeldes zu testen, stellte ich fest, dass sich mit dem integrierten Editor Javascript und h5p-Pakete ausführen lassen. Dies stellt ein kritisches Sicherheitsrisiko dar:
Es würde z.B. einem technisch versierten Teilnehmer ermöglichen, gezielt auf dem Rechner der Lehrkraft Viren oder Trojaner einzuschleusen, wodurch z.B. Prüfungen vorab bekannt werden oder Noten der Mitschüler in Erfahrung gebracht werden könnten.
Mittels h5p könnte es evtl. sogar möglich sein, die gesamten Moodle-Einstellungen- und Seiten zu ändern, sich selbst Admin-Rechte zu verschaffen, Mailadressen aller in Moodle angelegten Teilnehmer abzufischen oder Programme auf dem Server zu installieren um im Namen der Firma unerkannt andere Webseiten anzugreifen, usw.
Mittels iframes könnten Teilnehmer externe Seiten einbinden, die bei der Lehrkraft oder evtl. sogar anderen Teilnehmern Viren, Trojaner, Kryptominer, usw. installieren.
Wenn selbst mir als Programmier-Laien solche Risiken auffallen, ist davon auszugehen, dass dies auch bei Teilnehmer*innen der Fall sein kann.
Notwendige Schritte soweit mir bekannt:
· die entsprechenden Quelltext-Funktionen aus dem Editor entfernen
· Die h5p-Funktionalität komplett deinstallieren oder zumindest aus dem Editor entfernen
· Einen Javascript- und iframe- Scriptfilter installieren
· Einen sicheren Upload-Filter installieren
Auch die Upload-Möglichkeit birgt etliche Risiken für die Teilnehmer*innen und Seminarleitung (infizierte Dateien), jedoch ist diese für den Seminarbetrieb vermutlich unabdingbar.
Lösung: Möglichst einen automatischen online-Virenscan für hochgeladene Dateien installieren.
Viele Grüße
Was ist davon zu halten? Nach einer kurzen Recherche konnte ich nichts zu den besagten Themen finden. Gibt es ein tatsächliches Risiko?