Protected und Trusted Code

Sicherheitsannahmen werden an den folgenden Stellen getroffen:

• browser-Komponenten wie views und resource, die in ZCML deklariert und mit einer Berechtigung versehen werden.

• Page Templates und andere Ressourcen, die durch das Skins-Tool verwaltet werden, werden explizit bestimmten Rollen zugewiesen. So wird z.B. prefs_install_products_form.pt in der assoziierten Datei prefs_install_products_form.pt.metadata explizit auf die Manager-Rolle eingeschränkt:

  [security]
  View = 0:Manager
  

• Attribute und Methoden von persistenten Objekten wie Artikeltypen und Tools können auf zweierlei Art geschützt werden:

  • durch ZCML-Berechtigungen mit class- oder require-Anweisungen
  • durch Python-Code, der ein AccessControl.ClassSecurityInfo--Objekt verwendet.

Zusätzlich kann die Variable __allow_access_to_unprotected_subjects__ einer Klasse hinzugefügt werden um zu bestimmen, wie sich Attribute, die ihrerseits nicht durch Security-Annahmen geschützt sind, verhalten sollen.