Moodle4arabs

14 نقطة لا بد أن تراعيها لتجنب الثغرات الأمنية في موودل !

0 345

هذه التدوينة موجه للتقنين والمبرمجين وللمهتمين

بالرغم من جهود موودل في تحديث جميع ما يتعلق به  وخصوصا من النواحي الأمنية ولكن في التقنية يبقى هاجس الأمن هو الأولوية الأولى .

دائما ينصح موودل أنه في حال وجدت أي ثغرة أمنية  ضرورة التواصل مع الفريق التقني الخاص بهم ليتم معالجتها فوراً وارسال تحديثات امنية لجميع الجهات التي تستعمل موودل .

  • register_globals:

لا بد من إطفاء هذه الخاصية في php  وهي ليست حصرا لموودل ولكن في جميع البرمجيات المعتمدة على php  لا بد من جعلها off  والتأكد انها كذلك اذا لم تقم بتغييرها . تسمح لك هذه الخاصية بكتابة كود – وإن كان غير آمن  – لكنها تستعمل في حالات التطوير ووقت كتابة الكود الخاص بأي برنامج . ولكن في حال انتقال الكود / البرنامج إلى مرحلة الاستخدام الفعلي تصبح هذه الخاصية مكان خطورة عالي جدا .


  • dataroot :

هو المكان الذي يخزن موودل الملفات التي يتم تحميلها إليه خلال استعمال الاشخاص الموودل مثل الصور وملفات الـ pdf  وغيرها ..لذلك هذا الملف يجب ان لا يسمح للوصول الية من خلال الويب ولكن فقط من خلال موودل.


  • Displaying of PHP errors :

هنا لابد من الاشارة الى ضرورة جعل هذه الخاصية دائما off خصوصا بعد الانتهاء من تطوير أي برنامج معتمد على php  ، في موودل ايضا تظهر هذه الأهمية حيث ان هذه الخاصية في حال بقائها فعالة قد تجعل أحد الأشخاص يدخل رابط خاطئ وبالتالي سيظهر له معلومات قيمة وهامة عن البنية التحتية لموودل والتي قد تستغل لغايات الاختراق .


  • Vendor directory :

موودل يعتمد على مجموعة من المكتبات المختلفة التي تساعد في تحقيق اهداف موودل ،لذلك ستجد داخل moodle dirroot ، ملف اسمه Vendor يحتوي كل المكتبات التي استعملها او يستعملها موودل .  تأكد دوما ان هذا الملف لا يمكن الوصول اليه  من خلال الويب prohibit web access to it لكي تجنب نفسك مخاطر remote attacks


  • No authentication :

استعمال هذه الاضافة سيف ذو حدين حيث تسمح لك لأي مستخدم للدخول الى موقعك بدون اسم مستخدم او كلمة سر. اذا لم يكن لديك سبب حقيقي لاستعمالها ينصح دوما بان كل مستخدم لموودل الخاص بك ان يدخل باستخدام كلمة سر واسم مستخدم .


  • Allow EMBED and OBJECT :

بالرغم من اهمية هذه الخاصية والتي تسمح للمدرسين باضافة ملفات الفلاشِ Adobe Flash وملفات اخرى  مثل تضمين موقع كامل داخل صفحة المقرر باستعمال <iframe> الي المقررات ، لكن للاسف الفلاش قد يستعمل كثغرة للوصول الى كلمة سر المدرس او مدير نظام موودل . لذلك دوما ينصح باستعمال HTML5 والتحول من الفلاش .


  • Enabled .swf media filter : نفس السبب السابق

  • Open to Google :

السماح باي كود من جوجل ليكون داخل موودل هو تماما يعني ان موودل مفتوح للعالم . حاول ان لا تستخدم هذا الشي الا ذاك كان فعلا موودل هو موقع مفتوح للجميع Public Moodle


  • Password policy :

الكلمة الذهبية في امان ا ي موقع هي كلمة سر قوية ، من خلال هذه الخاصية يمكنك ان تجبر جميع مستخدمي موودل على ان تكون كلمة السر التي يستعملونها تتوافق مع معاييرك في اختيار كلمة السر . كلمة سر ضعيفة يعني ان موقعك قد يكون عرضة لل Spams  .


  • Password salt :

هذه الخاصية تضيف طبقة حماية مهمة وتقلل بشكل ملحوظ جدا سرقة كلمات السر  في حال لو تعرض موقعك للاختراق . دائما فعل هذه الخاصية والتي تعمل على اضافة نص معين الى كلمة السر الخاص بك ثم تشفيرها .


  • Secure cookies :

دائما تأكد من ان موقعك يستخدم بروتوكل HTTPS .


  • Writable config.php :

هذا  هو روح موودل لذلك تأكد دوما من ان هذا الملف غير قابل للكتابة والتعديل من خلال الويب . من خلال هذا الملف يمكنك تعديل كل ما يتعلق بأهم اعدادات موودل .


  • Administrators :

راجع دوما  حسابات مدراء موودل وتأكد ان هنالك الحسابات فقط التي يفترض ان تكون .


  • Default role for all users :

تعديل هذه الخاصية بحيث تضمنان اي مستخدم جديد لموودل يعطى له هذه الصلاحيات فقط . تأكد من الصلاحيات التي تريد ان تتاح للمستخدمين بعد تستجيله مباشرة .

 
تعليقات
error: شكراً لك. للنسخ تواصل معنا