Remove SessionHandler::$isACP

Since the previous commit this is always `false`.

Force SessionHandler::$isACP to be false

This causes the ACP to reuse the frontend session. This improves the user
experience for enabled multi-factor authentication, because the ACP will no
longer require both the password *and* an additional MFA code when the user's
web browser is already authenticated in the frontend.

Additionally it will allow to simplify the whole session handling logic, due to
the future removal of several code branches.

This removal of the branches is not yet done to keep this commit simple.

As of right now the ACP will have reduced security compared to the situation in
5.3, because no passwords will be asked either. This will also be fixed in a
future commit by using the reauthentication framework.

Merge branch '5.3'

Set 'stream' to `true` for Guzzle in `HTTPRequest`

This is required to properly support the 'maxLength' option on endless streams
(such as a web radio). Without setting 'stream' to `true`, Guzzle attempts to
download the entire response body before returning from `->send()`.

Fix disabling of session ACP expiration in debug + dev mode

While this was properly accounted for in SessionHandler::prune() it was not
when loading the session.

Fix pruning of ACP sessions

This fixes a copy and paste mistake in 6096fe159bbcae95b54abe0cfdb8eba0774dffc5.

This mistake did not introduce a security issue, because the session timeout is
also checked when loading the session, instead of just relying on the cronjob
pruning the session.

Add missing PHPDoc tags for new SessionHandler methods

- Add missing `@since` tags.
- Add useful `@see` tags.

Merge pull request #3883 from WoltLab/access-log-clean

Clean up ACP session log processing

Consider an ACP session to be expired after 15 minutes in SessionAccessLogListener

Stop accessing wcf1_acp_session in ACP session log

This access was only used to full the `active` property which is unused.

Merge pull request #3873 from WoltLab/user-online-performance

Fix performance of user online list

Fix performance of user online list
If the UserStorageHandler has to load all users that are online, this is quite resource intensive in larger communities and the query is very slow. The UserStorageHandler must actually be loaded so that the permissions of the users can be checked to see if they can make themselves invisible. We switch off this check with this commit and assume that users who cannot change this setting are always online.

Updating minified JavaScript files

Merge branch '5.2' into 5.3

Updating minified JavaScript files

Fix the ACP session cookie value after WCFSetup

WCFSetup was not adjusted when making the changes to the cookie format.

see 3b07fad7445f10555cc367eadedb9543565e4943

Fix typo in de.xml

Mark multi-factor methods as final

There is no good reason why anyone should be allowed to inherit from these
classes, especially since all the methods are either public or private (and not
protected).

Move permission checks for Multifactor forms into checkPermissions()

This avoids issues with requestReauthentication() being called for guests.

I verified that none of the actual processing happens before the
checkPermissions() check.

Remove call to deprecated HeaderUtil::exceptionDisableGzip();

This method is a no-op.

see 91b46ad444a1c0d90ae0c309b1386fbd5919f30b
see #3634
see #3881

Use `jslang` in templates instead of `lang`

Replace `boolean` with `bool` in PHP documentation

Replace `integer` with `int` in PHP documentation

Remove `@noinspection PhpUnusedParameterInspection` comments

Remove `@noinspection PhpMissingParentCallCommonInspection` comments

Replace usage of `WCF.System.PageNavigation` with `Ui/Page/JumpTo` (#3877)

See #3876

Deprecate `WCF.System.Dependency.Manager` (#3879)

It has not been actively used for a very long time, see d1d6845c77fd7cde7558d0defd71ab7947643fe7.

Unify reaction count button style with notification style

Merge branch '5.3'

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Permissions for media were not saved correctly

Add spacing beetween reaction icon in notifications

Fix double html encoding in trophy activity events

Fix content removal clipboard JavaScript on ACP user list page

Close #3878

Fix hiding suggestion dropdown when no suggestion are available

See 0a9081c855bf8b9ab0ffbd5ab98679a11f23849c

Fix `Ui/ItemList` for textareas

`parentElement` is no longer `element.parentNode` as `element` has been repositioned.

Missing `tsc` update

Hint the return type based on the provided parameters

Remove unused imports

Use `WoltLabSuite/Core/Acp/Ui/Worker` instead of `WCF.ACP.Worker` (#3686)

Additionally, the mail worker dialogs now use titles.

Remove unused import

Move data structures for the inline editor into a spearate module

Move data structures for the inline editor into a spearate module

Fix fields selector in `Form/Builder/Field/Checkboxes`

Merge pull request #3875 from WoltLab/typescript-tree

Move TypeScript sources into ts/ from wcfsetup/install/files/ts/

Merge branch 'master' into typescript-tree

Merge branch '5.3'

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Set explicit value for invalid select options

Fix import of incorrect module in `Form/Builder/Field/User`

Merge branch '5.3'

Merge branch '5.2' into 5.3

Support WysiwygFormContainer as children of ITabMenuFormContainer

Make `options` parameter of `Form/Builder/Dialog` a `Partial`

Use monospace font for template listener code field in devtools

Add missing calls to parent constructors in subclasses of `TextFormField`

Merge branch '5.3'

Merge branch '5.2' into 5.3

Fix displaying error messages for devtool projects' instructions

Remove incorrect devtools form field description

Move TypeScript sources into ts/ from wcfsetup/install/files/ts/

Improve variable name

Merge pull request #3871 from WoltLab/devtools_project_typescript

Convert devtools project JavaScript code to TypeScript

Fix required packages' `file` value when editing devtools project

Missing signature for `$.ui.messageTabMenu`

Do not take X locks in read-only methods of the MFA Setup class

This was a fun one. Apparently even a query locking exactly a single row by
leveraging an UNIQUE KEY outside of a transaction can deadlock with another
transaction.

Sending two requests to regenerate MFA backup codes at the same time caused the
following to happen within the database:

T1: Within a transaction locks the Setup by using Setup::lock(), putting an X
    onto the PRIMARY KEY.
T2: Outside of a transaction reads a Setup using Setup::find(), hitting exactly
    a single entry within the `userID` UNIQUE KEY (i.e. a specific
    `(userID, objectTypeID)` tuple).
    -> This puts an X onto the `userID` UNIQUE KEY.
    -> This wants to also put an X onto the corresponding PRIMARY KEY.
    -> The PRIMARY KEY is already locked by T1.
    -> This query (and thus this transaction) waits within this specific query
       for the lock to be granted.
T1: Within the transaction calls Setup::find() with the same parameters as T2.
    -> This needs to put the X onto the same row in the `userID` UNIQUE KEY.
    -> This row is locked by T2.
    -> This transaction needs to wait for that lock to be granted.

Now T1 needs to wait for T2 which already waits for T1 and we're experiencing a
deadlock.

Fix this issue by not taking an X within Setup::find() (i.e. removing the `FOR
UPDATE`). I've verified that nothing calls Setup::find() within a transaction
(without locking the Setup by a different means). Thus this change does not
result in a difference with regard to lock safety. Everything that needs to
modify a Setup already calls Setup::lock() which locks the PRIMARY KEY only.

Fixes #3874

Merge remote-tracking branch 'origin/master'

Merge branch '5.3'

- Dropped update_com.woltlab.wcf_5.3.3_style.php

Merge pull request #3865 from WoltLab/fix-style-preview

Fix the style preview images

Merge pull request #3872 from WoltLab/codemirror-media

Convert `Acp/Ui/CodeMirror/Media` to TypeScript

Unified the exception type for GD and Imagick

Use an `enum` for the InsertType

Convert `Acp/Ui/CodeMirror/Media` to TypeScript

Apply suggestions from code review

Convert `Acp/Form/Builder/Field/Devtools/Project/Instructions` to TypeScript

Convert `Acp/Form/Builder/Field/Devtools/Project/RequiredPackages` to TypeScript

Convert `Acp/Form/Builder/Field/Devtools/Project/OptionalPackages` to TypeScript

Convert `Acp/Form/Builder/Field/Devtools/Project/ExcludedPackages` to TypeScript

Convert `Acp/Form/Builder/Field/Devtools/Project/AbstractPackageList` to TypeScript

Add devtools form builder-related TypeScript interfaces

Use DomUtil for element visibility in form builder modules

Convert `WCF.Message.Quote.Handler` to TypeScript (#3860)

* Convert `WCF.Message.Quote.Handler` to TypeScript

* Export the class separately

Image adapters now support saving to GIF/JPG/PNG/WebP (#3869)

* Image adapters now support saving to GIF/JPG/PNG/WebP

* Adjusted the usage of exception

* Missing remark on the version support

Merge branch '5.3'

Fix check for deleted notifications in NotificationEmailDeliveryBackgroundJob

Support for WebP images (#3861)

* Support for WebP images

* Inconsistent quote style

Merge pull request #3849 from WoltLab/media_typescript

Convert media-related JavaScript to TypeScript

Fix multiple queries for user online list stats

Merge pull request #3855 from WoltLab/rank-image-upload

Allow upload of rank images via admin panel

Add rank image upload migration script

Add user rank image upload

Merge branch '5.3'

Merge pull request #3867 from WoltLab/smtp-auth-fail

Fail SMTP auth if credentials are configured but all mechanisms fail

Properly detect EOF in SmtpEmailTransport::read()

Disconnect SMTP session for all types of Exception during connect / auth

Fail SMTP auth if credentials are configured but all mechanisms fail

Merge pull request #3853 from WoltLab/oauth-refactor

Refactor OAuth 2 login

Fix the style preview images

The update 5.3.1 -> 5.3.2 detached all the style preview images in the
database, while leaving the actual image files in the file system. This new
update script *should* fix this situation again, by scanning the asset folder
and reattaching the newest image.