Sicherheitsannahmen werden an den folgenden Stellen getroffen:
browser-Komponenten wie views und resource, die in ZCML deklariert und mit einer Berechtigung versehen werden.
Page Templates und andere Ressourcen, die durch das Skins-Tool verwaltet werden, werden explizit bestimmten Rollen zugewiesen. So wird z.B. prefs_install_products_form.pt in der assoziierten Datei prefs_install_products_form.pt.metadata explizit auf die Manager-Rolle eingeschränkt:
[security]
View = 0:Manager
Attribute und Methoden von persistenten Objekten wie Artikeltypen und Tools können auf zweierlei Art geschützt werden:
durch ZCML-Berechtigungen mit class- oder require-Anweisungen
durch Python-Code, der ein AccessControl.ClassSecurityInfo–Objekt verwendet.
Zusätzlich kann die Variable __allow_access_to_unprotected_subjects__ einer Klasse hinzugefügt werden um zu bestimmen, wie sich Attribute, die ihrerseits nicht durch Security-Annahmen geschützt sind, verhalten sollen.