O WebDAV usa o protocolo HTTP para fazer o transporte de dados. Portanto, se o seu Zope está rodando HTTP na porta 8080, qualquer cliente WebDAV vai conseguir acessar o Zope por esta porta. Isso não representa nenhuma falha de segurança, porque o que o o que o cliente de WebDAV vai conseguir fazer não é diferente daquilo que um navegador web mostraria, dadas as mesmas permissões e autenticação.
Como disse muito bem o Clayton, ao acessar um template ou script através da porta HTTP do Zope, o cliente WebDAV não conseguirá ver o código-fonte dos mesmos, mas apenas o resultado de sua execução, exatamente como se estivesse acessando via navegador. Quando você ativa a porta especial de WebDAV no zope.conf, isto habilita uma outra porta, de número 1980 por default. Esta porta chama-se "webdav-source-server" no zope.conf justamente porque ela permite acessar o código-fonte (source) dos scripts e templates. Os usuários que tiverem permissão de acessar esta porta, portanto, podem então usar editores com suporte a WebDAV para editar o código-fonte dos scripts e templates, coisa que não conseguiriam fazer pela porta HTTP padrão do Zope. É por isso que esta porta vem fechada por default. Finalmente, para controlar quem pode fazer o que via WebDAV, existem três permissões na aba Security do Zope: WebDAV Lock items, WebDAV Unlock items, WebDAV access. As duas primeiras são habilitadas por default apenas para usuários com papel de Manager ou Owner. Isso permite que estes usuários editem objetos via WebDAV. A terceira permissão, WebDAV access, vem habilitada para usuários Authenticated ou Manager. Isso permite que qualquer usuário autenticado consiga navegar pela estrutura de pastas do Zope via WebDAV, porém sem conseguir alterar qualquer coisa. [ ]s Luciano