Kan een andere gebruiker mijn sessie stelen in Moodle?
Dit artikel schrijf ik aan de hand van een Forum bericht dat op 12 mei 2020 op het Moodle forum geplaatst werd. https://moodle.org/mod/forum/discuss.php?d=403073
De vraag was n.a.v. een test waarin iemand als admin inlogt en vervolgens de informatie van de "moodleSession" cookies kopieert in de browser waar hij/zij ingelogd was als een student. in een video liet hij zien hoe dit gebeurde: https://streamable.com/qm4s0w
De vraag - heel terecht - is dan hoe makkelijk is het om een sessie te "stelen" in Moodle?
Moodle HQ medewerker Michael Hawkins reageerde op deze vraag. Michael Hawkins maakt deel uit van het Moodle HQ core ontwikkelingsteam en heeft de functie als Moodle Security officer.
Hij geeft aan dat het niet raar is dat het kan, want deze persoon laat zien. Dit is hoe het eenmaal werkt. Maar dat maakt het nog belangrijker om deze informatie "veilig" te houden.
Hij geeft daarvoor 3 tips:
- Maak gebruik van SSL/HTTPS, dit voorkomt dat een "sessie" gestolen kan worden tijdens het transport, bijvoorbeeld man-in-the middle aanval.
- Zorg ervoor dat alleen "vertrouwde" gebruikers rollen toegewezen krijgen zoals docenten en beheerders. De reden hiervoor is omdat je in deze rollen JavaScript inhoud kan opnemen.
Daarbij verwijst hij naar een artikel van Moodle (https://docs.moodle.org/38/en/XSS_trusted_users ) waarin het belang van rechten/rollen en dat je daar goed moet kijken hoe je dit toewijst.
In het rechten/rollen heb je bij bepaalde rechten in de kolom "risico's" , symbooltjes staan.
- Zorg ervoor dat je Moodle installatie altijd de laatste veiligheidsupdates hebben. Er kunnen veiligheidsupdates in zitten die ervoor zorgen dat de "gebruikers sessies" extra beveiligd worden.