Waarom wordt lockId van bestandsdelen teruggegeven in enkelvoudiginformatieobject_list en enkelvoudiginformatieobject_retrieve?

[basretera]

Waarom wordt de hash string van de lock (lockId) teruggegeven in de response van enkelvoudiginformatieobject_list en enkelvoudiginformatieobject_retrieve? Dit is mijns inziens een beveiligingsrisico.

Op deze manier kan iedere gebruiker/applicatie toegang krijgen tot het object in editmodus.

Stel applicatie A lockt het EIO t.b.v. een nieuwe versie van het document te uploaden middels bestandsdelen. Aangezien het een groot bestand is, gaat er een tijd overheen dat alle bestandsdelen zijn aangeboden en verwerkt door de DRC. In de tussentijd vraagt applicatie B het EIO op. Deze applicatie ziet nu gewoon het lockId van applicatie A. Dit kan niet de bedoeling zijn. Het enige dat applicatie B zou moeten zien is dat het EIO is gelocked, en daar is attribuut 'locked' voor bedoeld.

Dit issue is gerelateerd aan #2293, #2336, #2337 en #2360.