Blog

Moodle Security (12): Pas op met embedden code door deelnemers

12 december 2017

Arnout Vree

Reacties uitgeschakeld

, ,

Binnen de wysiwyg-editor van Moodle hebben cursusontwikkelaars, docenten maar ook deelnemers de mogelijkheid om HTML in te voegen. De meeste deelnemers zullen het schrijven van HTML niet beheersen, maar een paar gerichte zoekopdrachten in een zoekmachine en schadelijke code kan gekopieerd en geplakt worden in Moodle. De HTML tags ’embed and object’ worden hiervoor gebruikt.

Sitebeheerders kunnen dit risico’s uitsluiten door bij de instellingen de optie EMBED en OBJECT tags toestaan uit te zetten. Met name bij oudere Moodle site blijkt deze instelling nog aan te staan.

Deelnemers kunnen nog altijd multimedia invoegen via het mediaplugin filter, dus daarvoor hoef je deze instelling niet aan te zetten.

De instelling EMBED en OBJECT tags toestaan kan je vinden via:

Sitebeheer | Veiligheid | Site reglement

https://moodlesite/admin/settings.php?section=sitepolicies

Tags

 

Reacties gesloten