Unbreak WCFSetup

Dynamic WebP avatars (#3889)

Replace usage of `setObjectTitles()` with `replaceLinks()`

See #3881

Use `UserProfileRuntimeCache` instead of `UserProfile::getUserProfiles()`

See #3880

New UI design for the list of attachments (#3890)

* New UI design for the list of attachments

* Exchange the icon on focus (a11y)

* Improved a11y for attachments

* Inconsistent indentation

* Consistent use of whitespaces

* Fix indentation in en.xml

Co-authored-by: Tim Düsterhus <duesterhus@woltlab.com>

Replace usage of `LikeHandler` with `ReactionHandler`

… whereever possible.

Stop using `TLegacyUserPropertyAccess`

See #3880

Add dev tools description for flood control object type definition

See #3892

Add button to delete missing phrases logs for phrases existing now (#3896)

Replaces #3716

Merge pull request #3893 from WoltLab/deprecate-gravatar

Deprecate Gravatar support

Add SCSS Prettiering to .git-blame-ignore-revs

Use prettier for SCSS (#3895)

Add PHPDoc to update scripts

Deprecate Gravatar support

Resolves #3658

Fix parsing of packageName / packageDescription in PackageArchive

Previously a lowercase key remained in the returned array.

Merge branch '5.3'

Fix bad revert

see 6e01c38f9218c5763130f19814f3d5b94cca26be

Add missing trailing comma

see 3defd8fd276e17db64d261dee805e3df35d6bca2

Add previous commit to .git-blame-ignore-revs

Fix bad merge in EventListenerPackageInstallationPlugin

Apply the wcf1_event_listener database migration in 5.4 as well

see d836d365d30d44c6140dda17f82b9bd245db03e9

Merge branch '5.3'

Reformat update_com.woltlab.wcf_5.3.3_db.php to use Tabs

Code style for 5.3 expects tabs, not spaces. PHP CodeSniffer complains.

Merge branch '5.3'

Add PSR-12 reformatting commits for 5.3 to .git-blame-ignore-revs

see 6e01c38f9218c5763130f19814f3d5b94cca26be
see 9faac4ad4b5d27f9159e531b645ed3f4088adb3a

Revert "Reformat EventListenerPackageInstallationPlugin to PSR-12"

This reverts commit 9faac4ad4b5d27f9159e531b645ed3f4088adb3a.

Merge pull request #3891 from WoltLab/content-type

Fix content-type response headers

Deprecate ACPSession DBO

Remove obsolete `$session` property from SessionHandler

This property was unused.

Fix content-type for style export

- Use proper application/gzip
- Remove useless charset

Add `charset=UTF-8` to `Content-Type` header

Resolves #3856

Set ->autoFocus() for UserPasswordField in ReauthenticationForm

Add .git-blame-ignore-revs

This is for use with `blame.ignoreRevsFile` in git.

Merge branch '5.2' into 5.3

Whitelist `array_fill` in enterprise mode

Merge branch 'reactions-mobile-ux'

Display the reaction button on mobile

See #3888

Merge branch '5.3'

Support `environment=all` in event listener PIP GUI

Reformat EventListenerPackageInstallationPlugin to PSR-12

Support `environment=all` for event listeners in database

See #3145

Convert plain links to user profiles to titled links with username

Close #3657

Fix `IDatabaseTableColumn::renameTo()` for PHP < 8

Rogue whitespace

Inconsistent function names and missing types

Apply PSR-12 code style (#3886)

* Apply PSR-12 code style

* Replaces remaining tabs with spaces in `ViewableMedia::getElementTag()`

* Reformat SQL queries using spaces

* Do not use `use function`

phpcs and phpcs-fixer do not agree on how they should be ordered.

* Disable buggy phpcs rules

* Fix PHPDoc placement in install / update scripts

* Ignore more unfixable errors

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Fix a bunch of line length violations

* Code style adjustments

* Fix PHPStorm comment stupidity

* Make phpcs happy

* Code style adjustments

* Make phpcs happy

* Stop touching install.php, test.php and core.functions.php using phpcs-fixer

* Properly ignore core.functions.php for phpcs

Co-authored-by: Matthias Schmidt <gravatronics@live.com>
Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Fix `Ui/Message/Manager.getPermission()` for permissions with dashes

Fix reaction buttons

Close #3882

See 1dbe7a6f68083ca5e72cdaa62b46ad0bf2109bf0

Make phpcs happy with PasswordUtil

Merge remote-tracking branch 'origin/master'

Merge branch '5.3'

Merge pull request #3884 from WoltLab/password-phpbb-combined

Add support for phpBB's combined hash

Add support for phpBB's combined hash

Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Merge pull request #3858 from WoltLab/session-merge

Merge Frontend and ACP sessions

Remove __reauthenticationLoginAs.tpl from syncTemplates.json

They intentionally differ in contents.

Add logout and change user hint to Reauthentication in ACP

Fix SessionHandler::getCookieTimestep()

The previous commit 563510e451c4b9da820a68006b327413b23d0c30 did not actually
use the $window variable in the division.

Extend the USER_SESSION_LIFETIME to 60 days

Add com.woltlab.wcf_5.4_session_3_migrate_session.php

Use a separate reauthentication soft limit within the ACP

As of right now the soft limit in the frontend and in the ACP match up. However
in developer mode the soft limit will be extended to the hard limit.

Clear reauthentication in ACP logout

This will kill access to the ACP without invalidating the frontend session. By
redirecting to the frontend the user can easily perform a full logout.

Add SessionHandler::clearReauthentication()

Add a scoped session variable store

This prevents the frontend and ACP from sharing session variables. Most notably
a reauthentication in the frontend does not extend to the ACP.

Re-add SessionHandler::$isACP

This attribute is going to be used to implement a scoped session variable
store.

Register reauthentication after authenticating in LoginForm and MFAuthenticationForm

Require a reauthentication in WCFACP::initAuth()

Remove the userID from the session cookie

It was only added to support the username suggestion in the ACP login.

Make SessionHandler::getParsedCookieData() private

This method was newly introced in 5.4 to support the username suggestion during ACP login.

Remove logic to set the preferred username in ACP's login

By the removal of the session separation this will always be empty (otherwise
the user would already be logged in).

Drop wcf1_acp_session when upgrading from 5.3

Remove wcf1_acp_session from install.sql

Remove ACP sessions from GDPR export

They'll always be empty anyway.

Remove SessionHandler::ACP_SESSION_LIFETIME

This constant is unused as of the previous commit.

Remove pruning of ACP sessions

The table always is empty since the previous commits, so the pruning is no longer required.

Remove the `isAcpSession` property from \wcf\system\session\Session

This property always was `false` since the removal of the distinction between
frontend and ACP sessions.

Remove SessionHandler methods to delete ACP sessions

They were both introduced and deprecated in 5.4.

Remove calls to SessionHandler::deleteAcpSessionsExcept()

This method was deprecated in the previous commit.

Remove SessionHandler::$isACP

Since the previous commit this is always `false`.

Force SessionHandler::$isACP to be false

This causes the ACP to reuse the frontend session. This improves the user
experience for enabled multi-factor authentication, because the ACP will no
longer require both the password *and* an additional MFA code when the user's
web browser is already authenticated in the frontend.

Additionally it will allow to simplify the whole session handling logic, due to
the future removal of several code branches.

This removal of the branches is not yet done to keep this commit simple.

As of right now the ACP will have reduced security compared to the situation in
5.3, because no passwords will be asked either. This will also be fixed in a
future commit by using the reauthentication framework.

Merge branch '5.3'

Set 'stream' to `true` for Guzzle in `HTTPRequest`

This is required to properly support the 'maxLength' option on endless streams
(such as a web radio). Without setting 'stream' to `true`, Guzzle attempts to
download the entire response body before returning from `->send()`.

Fix disabling of session ACP expiration in debug + dev mode

While this was properly accounted for in SessionHandler::prune() it was not
when loading the session.

Fix pruning of ACP sessions

This fixes a copy and paste mistake in 6096fe159bbcae95b54abe0cfdb8eba0774dffc5.

This mistake did not introduce a security issue, because the session timeout is
also checked when loading the session, instead of just relying on the cronjob
pruning the session.

Add missing PHPDoc tags for new SessionHandler methods

- Add missing `@since` tags.
- Add useful `@see` tags.

Merge pull request #3883 from WoltLab/access-log-clean

Clean up ACP session log processing

Consider an ACP session to be expired after 15 minutes in SessionAccessLogListener

Stop accessing wcf1_acp_session in ACP session log

This access was only used to full the `active` property which is unused.

Merge pull request #3873 from WoltLab/user-online-performance

Fix performance of user online list

Fix performance of user online list
If the UserStorageHandler has to load all users that are online, this is quite resource intensive in larger communities and the query is very slow. The UserStorageHandler must actually be loaded so that the permissions of the users can be checked to see if they can make themselves invisible. We switch off this check with this commit and assume that users who cannot change this setting are always online.

Updating minified JavaScript files

Merge branch '5.2' into 5.3

Updating minified JavaScript files

Fix the ACP session cookie value after WCFSetup

WCFSetup was not adjusted when making the changes to the cookie format.

see 3b07fad7445f10555cc367eadedb9543565e4943

Fix typo in de.xml

Mark multi-factor methods as final

There is no good reason why anyone should be allowed to inherit from these
classes, especially since all the methods are either public or private (and not
protected).

Move permission checks for Multifactor forms into checkPermissions()

This avoids issues with requestReauthentication() being called for guests.

I verified that none of the actual processing happens before the
checkPermissions() check.

Remove call to deprecated HeaderUtil::exceptionDisableGzip();

This method is a no-op.

see 91b46ad444a1c0d90ae0c309b1386fbd5919f30b
see #3634
see #3881

Use `jslang` in templates instead of `lang`

Replace `boolean` with `bool` in PHP documentation

Replace `integer` with `int` in PHP documentation