Tincan API を使用して、コースの進行状況を独自の学習レコード ストア (LRS) に報告するコースを用意しています。コースはサードパーティによって提供され、ユーザーのブラウザーで HTML ページとして実行されます。
コースから送信されるすべての tincan ステートメントは操作できるため (単純な REST インターフェイス)、LRS が受け入れる「コース成功」メッセージを作成または再生できることがわかりました。
不正なメッセージを防ぐためにどのような可能性がありますか?
一般的な保護層とは?
素晴らしい質問です。クライアント側のコード (SCORM パッケージを含む) を使用するすべてのアプリケーションは、不正なデータに対して脆弱になるため、これは考慮すべき重要な問題です。
正確な状況とセキュリティの重要性に応じて、ここで実行できるアプローチは大きく 3 つあります。
多くの場合、オンライン学習は自己主導型であるため、学習者がカンニングをするインセンティブがないか、カンニングによってキャリアに影響を与えるリスクを冒す価値があるほど重要ではありません。発言のパターンが奇妙に見える場合、または学習者のその後の行動がコースを正常に修了した人の行動と一致しない場合、不正行為が検出され、人間によってアクションが実行される可能性があります。
同僚や友人に答えを求めたり、コード内で正しい答えを見つけたりするなど、不正なステートメントを送信するよりもカンニングする簡単な方法もあるかもしれません。セキュリティは最も弱い点と同じくらい良いものであり、その点がブリキ缶ではない場合、そこに努力を集中する意味はありません.壁に穴がある場合は、ドア用に大きなロックを購入しないでください.
このアプローチをサポートするために、Tin Can ステートメントには、誰がその出来事を主張したかを示す権限プロパティがあります。これにより、レポート ツールとデータを表示するユーザーは、そのデータをどの程度信頼しているかを判断できます。
クライアント側の追跡では、その信頼レベルは比較的低くする必要がありますが、多くの場合は問題ありません。仕事を提供するために人々について知る主な方法は、履歴書と面接の 2 つであることに注意してください。どちらも、従業員の自己主張に依存しています。重要なことは、データの信頼性を知ることです。
クライアント側の追跡を使用する必要がある場合は、コンテンツの起動に使用される資格情報のアクセス許可と範囲を制限することで、セキュリティを少し向上させることができます。コースが送信すると予想されるデータを検討し、資格情報をそのデータ セットに制限します。このアプローチでは、個々の学習者がコースに合格したと主張するのを止めることはできませんが、他の学習者や他のコースに関する声明を発表することを防ぐことができます。これは被害の制限であり、防止ではありませんが、クライアント側の追跡のセキュリティを SCORM の場合と同じレベルか、それよりもわずかに高くします。
セキュリティが本当に重要な場合、唯一の選択肢 (SCORM では利用できませんでした) は、追跡サーバー側を行うことです。主なサーバー側言語の多くには、無料のオープン ソース コード ライブラリがあります。追跡サーバー側では、資格情報を学習者のコンピューターから隠すことができるため、誰かがこれらの資格情報を取得して不正なステートメントを送信するリスクははるかに低くなります.
上で述べたように、チェーンの残りの部分にも対処したことを確認する必要があります。質問がクライアント側でマークされている場合 (学習者がコードで正しい答えを見つけることができる場合)、または評価されているユーザーの身元を確認する方法がない場合 (友人がテストを受けることができる場合)、サーバー側の追跡は無意味な投資になる可能性があります。 )。
おそらくオーサリングツールによって作成された、クライアント側の追跡を使用してコースを既に取得している場合、このオプションは最も高価になる可能性が高いため、セキュリティがどれほど重要かを考慮する必要があります. 一部の採用者は、学習体験にクライアント側の追跡を使用し、その後にサーバー側の追跡評価を使用するというアプローチを採用しています。
全体として、Tin Can は適切に使用すれば SCORM よりもかなり安全になる可能性がありますが、追跡だけでなく、プロセス全体をエンドツーエンドで検討する必要があります。
これら 3 つのアプローチのいずれかについて追加の質問がある場合はお知らせください。