Une faille de sécurité a été découverte dans l'extension sr_feuser_register. Cette extension est connue de tous, elle permet d'ajouter à un site sous TYPO3 un formulaire d'enregistrement, un formulaire d'édition et de suppression de compte... Le bulletin de sécurité précise l'importance de la faille, dans le sens où il serait possible de se connecter avec un compte sans mot de passe. Je vous invite donc à mettre à jour cette extension depuis le TER ou le gestionnaire d'extensions de votre instance TYPO3 si votre version est inférieure à 2.5.26 (actuellement, la version la plus récente est la 2.5.27).

Suite aux nombreuses failles de sécurité découvertes (nombreuses - à relativiser tout de même), de nouvelles versions de TYPO3 sont disponibles en téléchargement. La mise à jour concerne toutes les branches, ce qui souligne l'importance de la mise à jour. A noter qu'au passage, des bugs ont été résolus.

Téléchargez la mise à jour de TYPO3
Source : news.typo3.org

Détails :
http://wiki.typo3.org/index.php/TYPO3_4.1.14
http://wiki.typo3.org/index.php/TYPO3_4.2.13
http://wiki.typo3.org/index.php/TYPO3_4.3.4
http://wiki.typo3.org/index.php/TYPO3_4.4.1

De multiples failles de sécurité ont été découvertes dans le Core de TYPO3, le coeur de l'application. Les versions affectées sont les suivantes :
- 4.1.13 et inférieures
- 4.2.12 et inférieures
- 4.3.3 et inférieures

Le bulletin de sécurité est consultable ici : bulletin de sécurité

C'est une énième version du framework FLOW3 qui est disponible depuis vendredi. Il s'agit de la 10ème alpha dont la principale innovation consiste à sécuriser les objets/données et à n'afficher seulement les données auxquelles on a le droit d'accéder. Du coup, pas d'obligation de créer de contrôle sur les requêtes, contrairement à TYPO3 4.x où l'on utilise $this->cObj->enableFields($table). Le framework s'occupe de ces contrôles, en fonction de rêgles de sécurités pré-établies.

Vous pouvez voir un exemple sur la vidéo de présentation.

Pour modifier certaines données, il faut faire appel à des méthodes qui peuvent être interceptées par le framework. Sur la vidéo, un exemple est proposé. Il s'agit du fameux blog. La méthode indexAction fait appel à la fonction findByBlog afin de récupérer tous les posts du blog. Ensuite, la requêtes pour délivrer les posts, est ensuite réecrite de manière transparente en fonction des règles de sécurité.

Cette sécurité sur le contenu sera évidemment portée dans TYPO3 pour faciliter le développement d'extensions.

La présentation du kick-off des TYPO3 Developer Days est disponible sur slideshare : présentation kick-off T3DD10

Une date officielle a été annoncée lors des T3DD10 pour la sortie de TYPO3 4.5. Il s'agit du 26 janvier 2011. Il s'agira également d'une LTS, une Long Term Support, c'est à dire que le support sera assuré pendant 3 ans.

A lire sur le site t3n un résumé sur les T3DD10. Martin Brüggermann nous donne ses impressions sur les deux premières journées de cet événement.

"Getting things done", c'est le principal slogan de cette édition qui se déroule du 1er au 4 juillet. Cet événement a rassemblé entre 35 et 40 développeurs de la core team lors de la keynote du 1er juillet. Les développeurs ont ainsi pu se présenter aux participants et discuter sur les avancées de TYPO3 depuis ces dernières années ainsi que sur ses évolutions. TYPO3 est un CMS tourné vers l'avenir, il n'y a pas de doute.

Il y aurait cette année un nombre considérable d'ateliers (workshops) sur des sujets variés, ce qui est l'occasion d'approfondir ses connaissances. Martin Brüggermann nous explique qu'il a écrit une petite application web lors du Workshop consacré à ExtJS et que cet atelier était présenté par des membres de la Core team, à savoir Sebastian Kurfürst, Christopher Hlubek et Nils Dehle.

Les avantages et inconvénients à utiliser Extbase et Fluid pour ses prpres projets étaient discutés lors des précédentes éditions des TYPO3 Developer Days. Cette année, il s'avère que Extbase va devenir un standard; c'est inévitable puisque, le backportage d'Extbase est permanent au fil des releases, ceci pour favoriser la transition vers les prochaines versions de TYPO3 et surtout vers TYPO3 5.0.

On apprend enfin qu'un prototype existe déjà pour le back office de TYPO3 5.0, qui sera réalisé complètement avec la librairie ExtJS.

Enfin, cet événement donne l'occasion à ses participants de se détendre en fin de journée lors d'une partie de hockey subaquatique.

Source : site t3n

Pas encore utilisable, non, puisque une classe essentielle manque pour le fonctionnement des extensions sys_action, sys_notepad, etc. Je l'ai découvert ce soir et il y a un rapport de bogue à consulter. Je n'en ai pas entendu parler de ce problème dans la communauté francophone et ceci est peut-être la preuve que le task center n'est pas ou très peu utilisé. Dommage alors que le Task center soit mis en avant dans la liste des nouveautés de TYPO3 4.4. Un problème qui sera résolu rapidement.

En attendant, je vous invite à consulter un résumé sur le task center de TYPO3 4.4

Les vidéos du T3DD10 sont consultables sur Ustream : vidéos T3DD10. Je rappelle que cet événement a lieu du 1er au 4 juillet 2010 en Allemagne et rassemble plus de 200 développeurs. On attend avec impatience une démo sur les avancée du framework Phoenix.