[CalendarServer-dev] [CalendarServer] #350: location in snow leopard, more explanation about the problem

CalendarServer trac at macosforge.org
Fri Oct 2 01:15:31 PDT 2009 

#350: location in snow leopard, more explanation about the problem
-----------------------------------+----------------------------------------
 Reporter:  jduffas1@…             |       Owner:  wsanchez@…        
     Type:  Defect                 |      Status:  new               
 Priority:  1: Blocker             |   Milestone:  Later             
Component:  Calendar Server        |    Severity:  Other             
 Keywords:  location snow leopard  |  
-----------------------------------+----------------------------------------

Comment(by jduffas1@…):

 oups, sorry, I made a mistake,
 read this instead of the precedent :

 a <location> should not function as a <user>. normally, some people should
 be allowed to book locations (through <proxies>) but <locations> should
 always accept the booking (they have no choice to do this, they are not
 alive...)
 so, we can imagine that <locations> are programmated this way, and that
 the xml file should look like this:
   <location>
     <uid>rfi</uid>
     <guid>F2F2B56A-7B0E-498C-816F-1DA30D8A4168</guid>
     <password>dddd</password>
     <name>rfi</name>
     <email-address>rfi at free.fr</email-address>
     <proxies>
     <member type="users">jduffas2</member>
     </proxies>
   </location>

 that way, only the user "jduffas" can access that <location>. But the
 problem is that the <location> doesn't accept the appointments (it has to
 be done manually with a delegated calendar) : it leaves the question mark
 on the event's user having asked.
 worse, if I use another user (who is not in <proxies>, the server reacts
 completely identical.
 Now, if I add a <auto-schedule/>, the <location> accepts routinely the
 appointment, whatever the user is (in the <proxies> or not.)
 wholesale <proxies> in <locations> is not active, which represents a big
 security hole.





 the same in french (my language... i'm bad in english)

 un lieu ne devrait pas fonctionner comme un user. normalement, certaines
 personnes devraient être autorisées à réserver des lieux (grâce au proxi)
 mais les lieus devraient toujours accepter les réservation (ils n'ont pas
 le choix à faire, ce ne sont pas des être vivants)
 pour cellà, soit on se dit que les lieus sont programmés ainsi, et qu'il
 suffit de rentrer dans le .xml quelque chose de ce genre :
   <location>
     <uid>rfi</uid>
     <guid>F2F2B56A-7B0E-498C-816F-1DA30D8A4168</guid>
     <password>dddd</password>
     <name>rfi</name>
     <email-address>rfi at free.fr</email-address>
     <proxies>
     <member type="users">jduffas2</member>
     </proxies>
   </location>

 ainsi seul le user "jduffas" pourra accéder au lieu. mais le hic est que
 le lieu n'accepte jamais le rendez-vous (il faudrait le faire manuellement
 avec un calendrier délégué…) : il laisse le point d'interrogation sur
 l'événement du user l'ayant demandé.
 pire, si j'utilise un autre user (qui ne se trouve pas dans <proxies>, le
 serveur réagit de façon totalement identique.
 maintenant, si j'ajoute un <auto-schedule/>, le rendez-vous dans le lieu
 est accepté systématiquement, quelque soit le user (qu'il soit dans le
 <proxies> ou non.)
 en gros, <proxies> dans les <locations> n'est pas actif, ce qui représente
 une grosse faille de sécurité.

-- 
Ticket URL: <http://trac.calendarserver.org/ticket/350#comment:1>
CalendarServer </>
HTTP/WebDAV/CalDAV Server

More information about the calendarserver-dev mailing list