Kann der Standardadministrator Lesezugriff auf etc/package auf dem Herausgeber erhalten?

Standardmäßig existiert für jeden eine jcr:read-Verweigerungs-ACE auf dem Knoten /etc/packages. Standardmäßig hat so niemand (= jeder) Lesezugriff auf /etc/packages auf der Herausgeberinstanz. Dies ist in der ausführungsspezifischen Konfiguration für den ACL-Einrichtungsdienst unter /libs/cq/security/config.publish/com.day.cq.security.ACLSetup definiert.

Durch explizites Gewähren der Leseberechtigung auf dem Knoten /etc/packages im Herausgeber für den Benutzer, zusätzlich zum Hinzufügen des Benutzers zu den Administratorgruppen, wird der Lesezugriff auf dem Knoten bereitgestellt und die Berechtigung für jeden außer Kraft gesetzt.

Diese Beschränkung verhindert den Zugriff auf den Knoten etc/packages, da das Installieren /Deinstallieren oder Herunterladen von Paketen mit dem Code ein Sicherheitsrisiko darstellen kann. Aus diesem Grund ist die Standardeinstellung „kein Lesezugriff“. Durch das Anwenden dieser Berechtigung auf der Paketknotenebene wird das Vererben an alle Unterknoten (z. B. die Pakete) ermöglicht. Durch Zugriff auf die Pakete kann Zugriff auf den Code oder Inhaltspakete ermöglicht werden, was als Sicherheitsrisiko eingestuft werden kann.