[CalendarServer-dev] [CalendarServer] #350: location in snow leopard, more explanation about the problem
CalendarServer
trac at macosforge.org
Fri Oct 2 00:55:49 PDT 2009
#350: location in snow leopard, more explanation about the problem
-----------------------------------+----------------------------------------
Reporter: jduffas1@… | Owner: wsanchez@…
Type: Defect | Status: new
Priority: 1: Blocker | Milestone: Later
Component: Calendar Server | Severity: Other
Keywords: location snow leopard |
-----------------------------------+----------------------------------------
a <location> should not function as a <user>.
normally, some people should be allowed to
book locations (through <proxies>) but <locations> should
always accept the booking (they have no choice to do this, they are not
alive...)
so, we can imagine that <locations> are programmated this way, and that
the xml file should look like this:
<location>
<uid>rfi</uid>
<guid>F2F2B56A-7B0E-498C-816F-1DA30D8A4168</guid>
<password>dddd</password>
<name>rfi</name>
<email-address>rfi at free.fr</email-address>
<proxies>
<member type="users">jduffas</member>
</proxies>
</location>
that way, only the user "jduffas" can access that <location>.
But the problem is that the <location> accepts half the appointments:
it leaves the question mark on the event's user
having asked, however, the room still appears
as reserved in the availability tool...
worse, if I use another user (who is not in
<proxies>, the server reacts completely identical.
Now, if I add a <auto-schedule/>, the <location> accepts
routinely the appointment, whatever the user is (in the
<proxies> or not.)
wholesale <proxies> in <locations> is not active,
which represents a big security hole.
the same in french (my language... i'm bad in english)
un lieu ne devrait pas fonctionner comme un user.
normalement, certaines personnes devraient être autorisées à réserver des
lieux (grâce au proxi) mais les lieus devraient toujours accepter les
réservation (ils n'ont pas le choix à faire, ce ne sont pas des être
vivants)
pour cellà, soit on se dit que les lieus sont programmés ainsi, et qu'il
suffit de rentrer dans le .xml quelque chose de ce genre :
<location>
<uid>rfi</uid>
<guid>F2F2B56A-7B0E-498C-816F-1DA30D8A4168</guid>
<password>dddd</password>
<name>rfi</name>
<email-address>rfi at free.fr</email-address>
<proxies>
<member type="users">jduffas</member>
</proxies>
</location>
ainsi seul le user "jduffas" pourra accéder au lieu.
mais le hic est que le lieu accepte à moitié le rendez-vous : il laisse le
point d'interrogation sur l'événement du user l'ayant demandé, en
revanche, la salle apparait quand même comme réservée dans l'outil de
disponibilité
pire, si j'utilise un autre user (qui ne se trouve pas dans <proxies>, le
serveur réagit de façon totalement identique.
maintenant, si j'ajoute un <auto-schedule/>, le lieu est accepté
systématiquement, quelque soit le user (qu'il soit dans le <proxies> ou
non.)
en gros, <proxies> dans les <locations> n'est pas actif, ce qui représente
une grosse faille de sécurité.
--
Ticket URL: <http://trac.calendarserver.org/ticket/350>
CalendarServer </>
HTTP/WebDAV/CalDAV Server
More information about the calendarserver-dev
mailing list