Kære danske Moodlers!
Som nogle af jer ved, kører vi en Moodle på min arbejdsplads DBI med små 400 brugere. Vi har den seneste tid været ude for, at et par brugere har beklaget sig over at man kan google sig til deres Moodle-brugeroplysninger. I det ene tilfælde var den pågældende brugers profil slettet for længst, men det i den anden brugers tilfælde gjaldt oplysninger fra en eksisterende profil. I første omgang regnede vi med, at det drejede sig om cache-lagrede oplysninger, som stille og roligt ville forsvinde efterhånden som de forskellige søgemaskiners caches blev opdaterede, men ved sidste henvendelse checkede jeg selv efter ved at google løs, og selvom jeg har sat site-indstillingen til at Google ikke kan søge ved at logge in som gæst, så kan man tilsyneladende alligevel få adgang til oplysninger fra brugerprofilerne. Der findes en anden indstilling, hvor man kan bestemme hvor meget almindelige brugere kan se af andre brugeres profil, men det er sådan set ikke det, vi er ude efter. At brugerne på sitet kan se hinandens oplysninger er sådan set lidt meningen med, at de overhovedet er der. Men hvordan sikre, at disse oplysninger ikke også kan tilgås udefra?
Bedste hilsner
Jens Bruun Kofoed
Fortrolighed i brugeroplysninger
Antal besvarelser: 5Ang: Fortrolighed i brugeroplysninger
Et bud kunne være at lave en robots.txt fil og lægge i roden af moodlesitet med indholdet
--------------
User-agent: *
Disallow: /user/
--------------
Den skulle holde alle søgemaskiner der overholder Robots Execlusion Standard ude af user biblioteket hvor brugerprofilerne/view.php ligger, det blandt andet google og langt de fleste større søgemaskiner.
Der er mere om det på html.dk
--------------
User-agent: *
Disallow: /user/
--------------
Den skulle holde alle søgemaskiner der overholder Robots Execlusion Standard ude af user biblioteket hvor brugerprofilerne/view.php ligger, det blandt andet google og langt de fleste større søgemaskiner.
Der er mere om det på html.dk
Ang: Fortrolighed i brugeroplysninger
Hej Jens,
Har du slået Googles mulighed for at søge i Moodle fra - via Administration > Variabler?
Hver bruger kan også i deres profil indstille, hvem der må kunne se deres oplysninger.
Suppleret med Kristians robot.txt hint - så bør det afhjælpe Jeres læk.
Mvh
Jens Gammelgaard
Har du slået Googles mulighed for at søge i Moodle fra - via Administration > Variabler?
Hver bruger kan også i deres profil indstille, hvem der må kunne se deres oplysninger.
Suppleret med Kristians robot.txt hint - så bør det afhjælpe Jeres læk.
Mvh
Jens Gammelgaard
Ang: Fortrolighed i brugeroplysninger
Tak for idéer!
Og ja, dit forslag om robot.txt er spændende. Det vil vi prøve af. Til gengæld hjælper det ikke at slå Moodle-variablen fra i administrationen af site-indstillinger. Nu har jeg ikke haft tid til at teste den grundigere, men det ser ud som om den blot får Google til at stoppe ved Moodle's login, hvor man så bare kan klikke selv på "Login som gæst" og få de samme oplysninger. Google finder faktisk stadig oplysningerne, men kan altså bare ikke komme længere end til login siden. Så med lidt omløb i hovedet vil man stadig kunne finde oplysningerne. Det er også rigtigt, at brugeren selv kan vælge, om andre skal kunne se vedkommendes e-mail adresse, men det er så vidt jeg kan se den eneste knap brugeren kan skrue på? Det er også rigtigt, at man i site-indstillinger administrativt kan bestemme, om visse oplysninger ikke skal kunne ses af andre end admin og teacher, men det gælder ikke de personlige oplysninger, som brugeren måtte have skrevet om sig selv, kun en række andre profiloplysninger såsom Skype-kaldenavn, ICQ osv.
Det, vi vil gøre er derfor nok 1) at følge forslaget om robot.txt og 2) at tvinge (via variablen i site-indstillinger) nye brugere til at læse en side, hvor de gøres opmærksom på, at de oplysninger, som de skriver i deres profil, kan læses af internetbrugere udenfor sitet (f.eks. via en Google-søgning + efterfølgende login som gæst).
Når vi overvejer disse ting, er det fordi vi uddanner en del teologer, som får arbejde i muslimske lande, hvor de i worst case scenario kan få problemer med visa, arbejdstilladelse osv., hvis de på nogen måde kan forbindes med kristen undervisning. Heldigvis er der ikke så mange iranske ayatollah'er, som læser dansk...
Bedste hilsner
Jens
Og ja, dit forslag om robot.txt er spændende. Det vil vi prøve af. Til gengæld hjælper det ikke at slå Moodle-variablen fra i administrationen af site-indstillinger. Nu har jeg ikke haft tid til at teste den grundigere, men det ser ud som om den blot får Google til at stoppe ved Moodle's login, hvor man så bare kan klikke selv på "Login som gæst" og få de samme oplysninger. Google finder faktisk stadig oplysningerne, men kan altså bare ikke komme længere end til login siden. Så med lidt omløb i hovedet vil man stadig kunne finde oplysningerne. Det er også rigtigt, at brugeren selv kan vælge, om andre skal kunne se vedkommendes e-mail adresse, men det er så vidt jeg kan se den eneste knap brugeren kan skrue på? Det er også rigtigt, at man i site-indstillinger administrativt kan bestemme, om visse oplysninger ikke skal kunne ses af andre end admin og teacher, men det gælder ikke de personlige oplysninger, som brugeren måtte have skrevet om sig selv, kun en række andre profiloplysninger såsom Skype-kaldenavn, ICQ osv.
Det, vi vil gøre er derfor nok 1) at følge forslaget om robot.txt og 2) at tvinge (via variablen i site-indstillinger) nye brugere til at læse en side, hvor de gøres opmærksom på, at de oplysninger, som de skriver i deres profil, kan læses af internetbrugere udenfor sitet (f.eks. via en Google-søgning + efterfølgende login som gæst).
Når vi overvejer disse ting, er det fordi vi uddanner en del teologer, som får arbejde i muslimske lande, hvor de i worst case scenario kan få problemer med visa, arbejdstilladelse osv., hvis de på nogen måde kan forbindes med kristen undervisning. Heldigvis er der ikke så mange iranske ayatollah'er, som læser dansk...
Bedste hilsner
Jens
Ang: Fortrolighed i brugeroplysninger
Endnu en ting er vigtigt: husk at placere moodledata under root-niveau og med et forced login - så vil I kunne beskytte dem, der vises som online nu.
Ayatollah'er kan måske ikke - men det vil jeg tro at Outlandish kan.
Ang: Fortrolighed i brugeroplysninger
Hehe, Outlandish kan vi bestemt leve med!
Ellers vil jeg lige bede vores programmør om at kigge på de gode forslag. Tak endnu en gang for gode idéer!
Jens
Ellers vil jeg lige bede vores programmør om at kigge på de gode forslag. Tak endnu en gang for gode idéer!
Jens