Fixed bug #12629: XSS in sysext scheduler possible
[Packages/TYPO3.CMS.git] / NEWS.txt
index 503a273..0ab2b83 100644 (file)
--- a/NEWS.txt
+++ b/NEWS.txt
@@ -32,8 +32,8 @@ General
          that are really required for an accordant application. The performace improves
          dramatically. The PHP files are looked up using a registry file returns a simple array
          mapping PHP class names to accordant file names:
-               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
-               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
+               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
+               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
 
        * Extbase and Fluid integration: Extbase and Fluid are backports from FLOW3 to bring MVC
          and a very flexible templating engine to TYPO3 4.x. Extbase can be used in TYPO3 4.3 for
@@ -41,6 +41,18 @@ General
          FLOW3/TYPO3 5.0 - thus, it's possible to develop future-proof extensions now and migrate
          them easily when TYPO3 5.0 is released.
 
+       * Cookies of frontend and backend sessions can now be used with flags to protect the session id.
+         These settings for 'cookieSecure' and 'cookieHttpOnly' can be defined in the Install Tool:
+               + cookieSecure: Indicates that the cookie should only be transmitted over a secure HTTPS
+                 connection from the client. If set to 1 (force HTTPS), the cookie will only be set if
+                 a secure (HTTPS) connection exists - use this in combination with lockSSL since otherwise
+                 the application will fail and throw an exception! If set to 2, the cookie will be set in
+                 each case, but uses the secure flag if a secure (HTTPS) connection exists.
+               + cookieHttpOnly: When enabled the cookie will be made accessible only through the HTTP
+                 protocol. This means that the cookie won't be accessible by scripting languages, such as
+                 JavaScript. This setting can effectively help to reduce identity theft through XSS attacks
+                 (although it is not supported by all browsers).
+
 Backend
 =======
 
@@ -109,8 +121,9 @@ Backend
          user-defined language is available yet is detected by the preferred browser language. If you
          have previously changed the login labels via $TYPO3_CONF_VARS['BE']['loginLabels'] then
          these will be used, however it is recommended to overload the XML file with your own XML file
-         and $TYPO3_CONF_VARS['BE']['XLLfile']['EXT:lang/locallang_login.xml']. These will only be used
-         once you remove the altered "loginLabels" configuration option from typo3conf/localconf.php.
+         and $TYPO3_CONF_VARS['SYS']['locallangXMLOverride']['EXT:lang/locallang_login.xml']. These will
+         only be used once you remove the altered "loginLabels" configuration option from
+         typo3conf/localconf.php.
 
        * The extension "gabriel" has been integrated into the TYPO3 core as system extension "scheduler".
          It provides a centralized way of defining scheduled, recurring tasks, with a convenient
@@ -119,9 +132,22 @@ Backend
          Extension developers are strongly encouraged to turn their existing cron scripts
          into Scheduler tasks.
 
+       * The appearance and behavior of localized records in the backend on copy, move and deleting
+         records has been improved. Actions performed to a record in the default language will now
+         concern the accordant localization records as well.
+
+       * TypoScript conditions have been possible in the frontend for a long time. This release adds
+         support for conditions in PageTSconfig and UserTSconfig so the same functionality is available
+         in both the frontend and backend now. Due to performance reasons evaluation of TSconfig
+         conditions can be disabled in the Install Tool with $TYPO3_CONF_VARS['BE']['TSconfigConditions].
+
 Frontend
 ========
 
+       * A new content element "MEDIA" that allows one to easily handle audio and video data has been integrated.
+         The element is delivered with default players which can be configured for specific demands. Besides that,
+         theese players can be replaced by others if required.
+
        * The message log of the admin panel will report failures to set the locale
 
        * Integrated functionality of extension jb_status_code into core:
@@ -191,6 +217,10 @@ Compatibility
          versioning and workspaces you have to re-enable it after the update by installing it with
          the extension manager or with the update wizard in install tool.
 
+       * The DOM object identifiers in Inline Relational Record Editing (IRRE) have been changed
+               from "data[<pidOfParentRecord>][<parentTable>][<parentId>][<parentField>]..."
+               to "data-<pidOfParentRecord>-<parentTable>-<parentId>-<parentField>..."
+
 Development
 ===========
 
@@ -238,9 +268,17 @@ Development
        * A random byte generator has been added to t3lib_div::generateRandomBytes() which can
          be used for cryptographic operations in the TYPO3 Core or in any other extension.
 
+       * A page rendering class (t3lib_PageRenderer), that relies on a template file, has been added for frontend and
+         backend disposal. The rendering object allows one to manage JavaScript and stylesheet data inside a document
+         structure. Besides that there are hooks to compress and concatenate JavaScript and stylesheet information.
+
 TypoScript changes
 ==================
 
+       * New properties to handle JavaScript and stylesheet data for rendering a page are available. It is possible to
+         define the place inside a document for inclusion (e.g. header and footer), wrap them with conditional comments,
+         and many more possibilites (see TSref PAGE.includeCSS and PAGE.includeJS for more details).
+
        * Custom sub categories can be used in TypoScript constants like the following:
                #customsubcategory=limits=LLL:EXT:devlog/locallang.xml:limits