Fixed bug #12629: XSS in sysext scheduler possible
[Packages/TYPO3.CMS.git] / NEWS.txt
index e82bdf6..0ab2b83 100644 (file)
--- a/NEWS.txt
+++ b/NEWS.txt
@@ -32,8 +32,8 @@ General
          that are really required for an accordant application. The performace improves
          dramatically. The PHP files are looked up using a registry file returns a simple array
          mapping PHP class names to accordant file names:
-               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
-               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
+               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
+               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
 
        * Extbase and Fluid integration: Extbase and Fluid are backports from FLOW3 to bring MVC
          and a very flexible templating engine to TYPO3 4.x. Extbase can be used in TYPO3 4.3 for
@@ -41,6 +41,18 @@ General
          FLOW3/TYPO3 5.0 - thus, it's possible to develop future-proof extensions now and migrate
          them easily when TYPO3 5.0 is released.
 
+       * Cookies of frontend and backend sessions can now be used with flags to protect the session id.
+         These settings for 'cookieSecure' and 'cookieHttpOnly' can be defined in the Install Tool:
+               + cookieSecure: Indicates that the cookie should only be transmitted over a secure HTTPS
+                 connection from the client. If set to 1 (force HTTPS), the cookie will only be set if
+                 a secure (HTTPS) connection exists - use this in combination with lockSSL since otherwise
+                 the application will fail and throw an exception! If set to 2, the cookie will be set in
+                 each case, but uses the secure flag if a secure (HTTPS) connection exists.
+               + cookieHttpOnly: When enabled the cookie will be made accessible only through the HTTP
+                 protocol. This means that the cookie won't be accessible by scripting languages, such as
+                 JavaScript. This setting can effectively help to reduce identity theft through XSS attacks
+                 (although it is not supported by all browsers).
+
 Backend
 =======
 
@@ -109,8 +121,9 @@ Backend
          user-defined language is available yet is detected by the preferred browser language. If you
          have previously changed the login labels via $TYPO3_CONF_VARS['BE']['loginLabels'] then
          these will be used, however it is recommended to overload the XML file with your own XML file
-         and $TYPO3_CONF_VARS['BE']['XLLfile']['EXT:lang/locallang_login.xml']. These will only be used
-         once you remove the altered "loginLabels" configuration option from typo3conf/localconf.php.
+         and $TYPO3_CONF_VARS['SYS']['locallangXMLOverride']['EXT:lang/locallang_login.xml']. These will
+         only be used once you remove the altered "loginLabels" configuration option from
+         typo3conf/localconf.php.
 
        * The extension "gabriel" has been integrated into the TYPO3 core as system extension "scheduler".
          It provides a centralized way of defining scheduled, recurring tasks, with a convenient
@@ -119,6 +132,15 @@ Backend
          Extension developers are strongly encouraged to turn their existing cron scripts
          into Scheduler tasks.
 
+       * The appearance and behavior of localized records in the backend on copy, move and deleting
+         records has been improved. Actions performed to a record in the default language will now
+         concern the accordant localization records as well.
+
+       * TypoScript conditions have been possible in the frontend for a long time. This release adds
+         support for conditions in PageTSconfig and UserTSconfig so the same functionality is available
+         in both the frontend and backend now. Due to performance reasons evaluation of TSconfig
+         conditions can be disabled in the Install Tool with $TYPO3_CONF_VARS['BE']['TSconfigConditions].
+
 Frontend
 ========
 
@@ -195,6 +217,10 @@ Compatibility
          versioning and workspaces you have to re-enable it after the update by installing it with
          the extension manager or with the update wizard in install tool.
 
+       * The DOM object identifiers in Inline Relational Record Editing (IRRE) have been changed
+               from "data[<pidOfParentRecord>][<parentTable>][<parentId>][<parentField>]..."
+               to "data-<pidOfParentRecord>-<parentTable>-<parentId>-<parentField>..."
+
 Development
 ===========