Use of explicit font weight `600` instead of `bold`

Allow disabling preview button in WYSIWYG form container

Merge pull request #3517 from WoltLab/zxcvbn-bundle

Load zxcvbn on demand

Merge pull request #3516 from WoltLab/retain-dimensions-aspect-ratio

Improve phrasing for *_retain_dimensions phrases

Merge pull request #3476 from WoltLab/failsafe-scss

Failsafe Style SCSS

Fix comment

Fix image path on editing styles

Remove 3.1.* update instructions

This cleans up package.xml. The 3.1.* instructions are not required for master / 5.3.

Remove unused div from PasswordStrength.js

Load zxcvbn on demand

Resolves #3515

Improve phrasing for *_retain_dimensions phrases

- de: s/Bildformat/Seitenverhältnis/
- en: s/Dimensions/Aspect Ratio/
- en: Use Title Case

Resolves #3510

Close the notification drop-down after clicking a link

This prevents the drop-down from staying open if the link is _effectively_ a no-op that does not cause a navigation, such as when the link target is the current page.

Merge branch '5.2'

Prefer longer group names for mentions

Added a unique key to `wcf1_user.username`

Closes #3494

Increase upload limits to more reasonable values

Closes #3457

Fix indentation

Fix cleanup

Generate CSS on saving custom CSS

Merge pull request #3511 from WoltLab/worker-thread-error-handling

Add proper error handling to WorkerCLICommand with --threads > 1

Merge branch '5.2' into master

Skip display-name of Mailbox if display-name == addr-spec

If the human readable $name of a Mailbox matches the $address then leave
out the $name within the header representation and specify a bare email
address. The name is redundant in cases like this and this might lead to
negative spam scoring.

Add proper error handling to WorkerCLICommand with --threads > 1

Fixes #3507

Convert `<small>` into `font-size`

Allow the `dropover` to bubble from the editor

Enables proper drag & drop when running in fullscreen mode.

Fixes #3509

Merge pull request #3508 from WoltLab/update-default-style

Update defaultStyle/ and defaultStyle.tar

Update defaultStyle/ and defaultStyle.tar

The files have been created by exporting the style from the ACP for the
current git master.

Resolves #3459

Merge branch '5.2'

Merge branch '3.1' into 5.2

Merge pull request #3500 from Krymonota/patch-12

Add missing phrases to English 3rd party register language items

Merge pull request #3483 from WoltLab/page-action-buttons-overhaul

Overhauled the page action buttons' behavior

Merge branch '5.2'

Fix resizing images in Safari
Fixes #3506

Merge pull request #3505 from WoltLab/create-thumbnail-leak

Clear thumbnail handles as soon as possible

Merge branch '5.2'

Merge branch '3.1' into 5.2

Prevent username overflow in the message sidebar

Merge branch '5.2'

Merge branch '3.1' into 5.2

Prevent changes to the showOrder setting of system boxes during an update

Merge branch '5.2'

Merge branch '3.1' into 5.2

Prevent changes to the visibility settings of system boxes during an update/upgrade

Merge branch '5.2' into master

Merge pull request #3502 from Krymonota/timing-safe-comparison-social-login

Use timing safe comparison to validate `state` parameter for social login

Fix type of `options` parameter in HTTPRequest PHPDoc (#3504)

Use timing safe comparison to validate `state` parameter for social login

The Twitter social login is left out because the implementation still uses OAuth 1.0, which does not support the `state` parameter.

Closes #3501

Clear thumbnail handles as soon as possible

This reproduces when rebuilding attachment thumbnails for largish animated
GIF files using ImageMagick. The ImageMagick on-disk cache quota is not
sufficient to hold:

1) The original
2) The tiny thumbnail
3) The in-progress regular thumbnail

The old value of the `$thumbnail` variable will only be destructed once (3)
returns. But the memory is already needed during execution of (3).

So this commit adjusts the code to `null` out the `$thumbnail` variable as
soon as possible, instead of waiting until it goes out of scope naturally.

Example stack trace from the worker:

    ImagickException: cache resources exhausted `/var/www/html/attachments/00/1-*snip*.bin' @ error/cache.c/OpenPixelCache/4083 in /var/www/html/lib/system/image/adapter/ImagickImageAdapter.class.php:132
    Stack trace:
    #0 /var/www/html/lib/system/image/adapter/ImagickImageAdapter.class.php(132): Imagick->cropthumbnailimage(352, 198)
    #1 /var/www/html/lib/system/image/adapter/ImageAdapter.class.php(82): wcf\system\image\adapter\ImagickImageAdapter->createThumbnail(352, 198, 0)
    #2 /var/www/html/lib/system/upload/DefaultUploadFileSaveStrategy.class.php(323): wcf\system\image\adapter\ImageAdapter->createThumbnail(352, 198, 0)
    #3 /var/www/html/lib/data/attachment/AttachmentAction.class.php(226): wcf\system\upload\DefaultUploadFileSaveStrategy->generateThumbnails(Object(wcf\data\attachment\Attachment))
    #4 /var/www/html/lib/data/AbstractDatabaseObjectAction.class.php(204): wcf\data\attachment\AttachmentAction->generateThumbnails()
    #5 /var/www/html/lib/system/worker/AttachmentRebuildDataWorker.class.php(48): wcf\data\AbstractDatabaseObjectAction->executeAction()
    #6 /var/www/html/lib/system/cli/command/WorkerCLICommand.class.php(152): wcf\system\worker\AttachmentRebuildDataWorker->execute()
    #7 /var/www/html/lib/system/CLIWCF.class.php(291): wcf\system\cli\command\WorkerCLICommand->execute(Array)
    #8 /var/www/html/lib/system/CLIWCF.class.php(85): wcf\system\CLIWCF->initCommands()
    #9 /var/www/html/cli.php(18): wcf\system\CLIWCF->__construct()
    #10 {main}

Add missing phrases to English 3rd party register language items

Merge pull request #3499 from WoltLab/5.2-like-rebuild-data-fix

Fix calculation the cached reactions

Use proper placeholders for fetching the reactions

Fix calculation the cached reactions

Merge branch '5.2' into master

Merge pull request #3498 from WoltLab/dbo-action-php-8

Fix bogus call to `call_user_func_array` in AbstractDBOAction::validateAction()

Fix bogus call to `call_user_func_array` in AbstractDBOAction::validateAction()

Fixes #3490

Merge pull request #3449 from WoltLab/password-security

Better password security estimation

Adjusted the bar sizes for the visual password strength

Old: 20/40/60/80/100
New: 5/20/50/85/100

Merge pull request #3496 from WoltLab/comment-object-author-cleanup

Add AbstractCommentManager::getObjectID() to DRY up isContentAuthor

Prevent guests from being a comment’s content author

Add AbstractCommentManager::getObjectID() to DRY up isContentAuthor

Merge branch 'master' into password-security

Skip the menu indicator on mobile if only sub level items have counters

Closes #3164

Typo

Merge branch 'master' of https://github.com/WoltLab/WCF

Allow targeting of checkboxes in enableoptions

Closes #3277

Merge pull request #3493 from WoltLab/comment-object-author

Add contentAuthor badge to comments

Merge pull request #3482 from WoltLab/style-image-upload

Add upload for custom style assets

Improved the UI/UX for the password strength estimations

Ignore certain scroll events that are just side effects

Use a more defined description

Co-authored-by: Tim Düsterhus <duesterhus@woltlab.com>

Merge branch '5.2'

Remove superfluous `array_unique` call
No double value can occur in the array. When deleting, we already check if the object still exists in our file array and delete it only if it really still exists.

Implement isContentAuthor for article comments

Implement isContentAuthor for user profile comments

Add contentAuthor badge to comments

Resolves #3386

Add ICommentManager::isContentAuthor()

Merge pull request #3488 from WoltLab/external-link-handling

External link handling

Applied suggestions

Fix return value of sort callback in TemplateListPage

Found using PHP 8's new warning:

> Message: uasort(): Returning bool from comparison function is deprecated,
> return an integer less than, equal to, or greater than zero

Merge branch '5.2' into master

Fix PHP 8 compatibility for WCFSetup's error handler

see 0267fa9af7e18aa6449726f748e672cdac192d12

Applied suggestions

Merge pull request #3487 from WoltLab/improved-package-search-results

Improve results when searching for packages

Merge pull request #3477 from WoltLab/style-cleanup-update

Add update script for style cleanup

Added rel attribute for external links in menus

Add rel="ugc" for links within user generated content

Improved the animation behavior by merging transitions

isInternalURL() treats everything as internal that resides on the same subdomain

Removed EXTERNAL_LINK_REL_NOFOLLOW

New method to generate attributes for <a> tags

Use of StringUtil::getAnchorTag()

use StringUtil::getAnchorTag()

Merge pull request #3486 from Krymonota/use-generic-default-cookie-prefix

Use generic value for default cookie prefix

Fixed image path issue

Improve results when searching for packages

Closes #3407

Use generic value for default cookie prefix

... so that it doesn't have to be adjusted for new versions.

Merge branch '5.2'

Added missing informal variant

Merge pull request #3484 from WoltLab/wcfsetup-cookietest

Detect misconfigured hostnames during WCFSetup

Detect misconfigured hostnames during WCFSetup

Misconfigured reverse reverse proxies might rewrite the `host` header to the
upstream's hostname, instead of preserving the `host` as it was sent by the
web browser. Such a misconfiguration will cause WoltLab Suite to generate
incorrect absolute URLs and more importantly this also causes it to specify
an incorrect `domain` within cookies. The latter leads to the browser ignoring
the cookie. At the end of WCFSetup this ultimately leads to the ACP session
cookie being ignored, which in turn leads to failing the transition from
WCFSetup into the package installation. Instead the user will be bounced to
the LoginForm which fails to load, because the necessary option.xml was not
yet installed.

An example HAProxy configuration that reproduces the issue is as follows:

    listen test
     mode http
     bind *:80
     http-request set-header host 172.19.0.5
     server nginx 172.19.0.5:80

If the WCFSetup is accepted via any hostname that is not `172.19.0.5`, e.g.
by using `localhost` then cookies will fail to stick within the web browser.

This commit extends the system requirements step to:

- Compare the HTTP_HOST as seen by the web server against both:
   1) The `Referer` header.
   2) The `window.location.host` value in JavaScript.
  If any of those mismatches, then the web server is not correctly configured.
- Read a cookie that was set earlier.
  If this cookie is missing, then most likely the `domain` property was
  incorrectly specified.

This commit most likely resolves #3024.