Reset all tokens on login

Bug: T122056
Change-Id: I03739e942b6c182ed9cbcd0d9615dcd799e8baed

resourceloader: Strip leading BOM when concatenating files

We read files and concatenate their contents. Files may start with a BOM character.
BOM characters are only allowed at the beginning of a file, not half way.
Stripping it should be safe, since we already assume that everything is UTF-8.

Change-Id: I14ad698a684e78976e873e9ae2c367475550a063

Merge "Do not redirect to HTTPS when it's not supported"

Merge "Return error message in users API cancreate field"

Merge "AuthManager fixups around the login→RESTART→create flow"

Do not redirect to HTTPS when it's not supported

Most URL generation happens via wfExpandUrl, which honors $wgServer
(or whatever setting it is told to use): if it has an explicit
protcol, that is always used; if it is a protocol-relative URL,
the protocol is selected based on the parameters given to wfExpandUrl.

One exception is MediaWiki::main() which always uses HTTPS if the
relevant cookie or user option is set, even if the wiki does not
support it. That can lead to annoying problems on Vagrant where it
is not unusual to turn HTTPS support on and off: when that happens,
the user can get locked out of the account.

Change-Id: I06982a26cd808f2aaa26753cd3353ed82473d9e0

Merge "Fix encryption code in Session"

Fix encryption code in Session

* verify that the algorithm that's about to be used is available
* fix exception namespace

Bug: T136587
Change-Id: I9f8636bef0e10b4f2b8bfe232a26a8c33376ca04

AuthManager fixups around the login→RESTART→create flow

* ApiQueryAuthManagerInfo will differentiate between preserved linking
  data and a preserved createRequest.
* ApiQueryAuthManagerInfo will indicate the preserved username, if any,
  because the client will have to pass that back to action=createaccount.
* ApiClientLogin won't tell about the confusing
  CreateFromLoginAuthenticationRequest returned on RESTART responses.
* Explain how 'preservestate' works in ApiAMCreateAccount's auto-doc.
* ConfirmLinkSecondaryAuthenticationProvider will filter out requests
  that can no longer be used (i.e. if it was for linking the account
  that got used for creation).
* All the complicated code in AuthManager::beginAccountCreation() was
  trying to deal with allowing the client to pass only the
  CreateFromLoginAuthenticationRequest. That was dumb, removed it.
* Added methods to CreateFromLoginAuthenticationRequest to indicate its
  status with respect to different kinds of preserved state.
* Increase accuracy of the AuthenticationResponse::$createRequest doc.

Change-Id: I726d79de18e739d6e60c1eea51453433c21ba207

Localisation updates from https://translatewiki.net.

Change-Id: Iafc12789c203b6b3d1ce0f81136f139a023ed972

pngcrush -brute -reduce on mediawiki.skinning

About 25 % size reduction. Looks good in my image viewer.

Change-Id: I9e4815a75899a68e30b8c264f3d772c8ceb6301b

Return error message in users API cancreate field

That API field exposes AuthManager::canCreateAccount, where the error
message is important.

Change-Id: Idef441b311b94ff0cb6c4deaed1ac93959ee7ee8

Fix rvtoken=rollback in ApiQueryRevisions

Follows-up 9af38c0. Token must match ApiRollback, RollbackAction,
Linker, and WikiPage. (This should not be in different 5 places!)

This broke the "PILT" gadget.

Bug: T136375
Change-Id: Ia6b6879a952925ec52fa627ba57991bc87fd947a

mediawiki.debug: Use monospaced font for debug toolbar, really

It's "monospace", not "monospaced".

Follow-up to 19679b4f which introduced the mistake and 58920c46 which
incorrectly fixed it.

Change-Id: I898486baafebec13f42649ad2da832eb8a8ff1dd

Add single quotes around monospaced in less

Follow-Up: I3e3a7c110d4ceae8c1b65b35bf17b34fed7f68f8

Failed in

11:45:13 Running "stylelint:src" (stylelint) task
11:45:15 >>
/home/jenkins/workspace/mediawiki-core-npm-node-4.3/src/resources/src/mediawiki/mediawiki.debug.less
failed:
11:45:15 >> Line 98, column 15: Expected single quotes around font-family
name "monospaced" (font-family-name-quotes) (error)
11:45:15

Which this patch fixes.

Caused I278f6ef063d37c1b6325da76edc9f34b01c27087 to fail which this also
fixes.

Change-Id: I10f64ec5517176a43c292599e4bdb1ad7098929d

Merge "API: Fixes for AuthManager"

Merge "Typo fix for AuthPluginPrimaryAuthenticationProvider::providerAllowsAuthenticationDataChange"

API: Fixes for AuthManager

* Set API response metadata on the AuthenticationRequest metadata so it
  is output as an assoc generally.
* Remove the 'image' field in AuthenticationRequest::getFieldInfo()'s
  response, since we ended up not using it anywhere.
* Make it so meta=authmanagerinfo can be used on private wikis without
  logging in, so action=clientlogin can be used to log in.
** This generalizes the exception for meta=tokens that was added in
   I83dafb030.
* ApiAuthManagerInfo needs the "messageformat" parameter.
* ApiAuthManagerInfo shouldn't be publically cached, since the responses
  vary depending on session state.

Change-Id: Iea5ddb4ef9febed18f16a7ae8314968026f39148

Merge "Fix required field calculation in AuthenticationRequest"

Fix required field calculation in AuthenticationRequest

Instead of only flagging fields which are required by a request
needed by all primairy providers, it should be enough if all
requests needed by some primary provider require that field.

Also make CreationReasonAuthenticationRequest non-required so that
the list of required form fields is more in sync with that of
pre-AuthManager code.

Bug: T85853
Change-Id: I9d33bd22295758cc532a260b1848616b41d94f12

Merge "Make number of PBKDF2 iterations used for deriving session secret configurable"

Merge "Use monospaced font for the debug toolbar"

Merge "EditPage: Do not resolve redirect on cancel button"

Use monospaced font for the debug toolbar

Debug output seems to be much more readable
with the monospaced font.

Change-Id: I3e3a7c110d4ceae8c1b65b35bf17b34fed7f68f8

Merge "SpecialUpload: Separate style only module"

Merge "Add support for icu-ta collation"

wikimedia/cdb: 1.4.0 => 1.4.1

Updated for I5a7a9f259: stop using wikimedia/assert

Change-Id: I8c867eeb3e6612b85db1373e5a25565861174f07

SpecialUpload: Separate style only module

Move the style into a style only module, because it is used
independant of the javascript module. Add the new style module as a
dependency for the javascript module.

Bug: T136364
Change-Id: If34483fdc50dc130a4bcf3d163b34b954f2269bb

Localisation updates from https://translatewiki.net.

Change-Id: Id11f3672bf50a6ce9521295db140c6c0f2e9d0f9

Typo fix for AuthPluginPrimaryAuthenticationProvider::providerAllowsAuthenticationDataChange

Change-Id: I7c05ea91009cdf765b06438e055de891e0edd1f4

Merge "WatchedItemStore: Use callable type hint instead of Assert library"

EditPage: Do not resolve redirect on cancel button

Change-Id: I9343c7e97cee7fa6550b186e6a6ffbf3438060a4

Merge "LoginSignupSpecialPage: Load return and returnto params as early as possible"

Merge "RollbackAction: Don't return true, causes '1' to be output"

Localisation updates from https://translatewiki.net.

Change-Id: I8038db5de26e5efb0b801902e8ce51536af5e47b

Merge "mw.ForeignStructuredUpload.BookletLayout: Make licensing links clickable again"

Merge "Clean up updatedmarker styling mess"

SpecialSearch: Use OOUI\ActionFieldLayout for search input and button

This prevents the button from flipping to a new line if the window or
the available width at all is smaller as the width of the input and the
button together. Now, the input will be as small as needed for the button
to be on the same line.

Bug: T134475
Change-Id: Icc68a8e83fc7037b96a5efec2766ffdf453c5413

LoginSignupSpecialPage: Load return and returnto params as early as possible

They're are needed for a redirect to the target page after
a successful login, which is made before the SpecialPage::execute()
function is called. Loading basic request varaibles in the execute()
function is therefore too late to take effect for the redirect after
a successul authentication with a primary provider, which needs to
redirect the user to another site.

Bug: T135924
Change-Id: I6ded7f9bb255cbb332a5810e7ed3cb3ecfdb2c04

Merge "OOUI HTMLForm: Allow specifying whether buttons are framed"

Merge "SpecialSearch: Remove obsolete styles"

Merge "Separate Special:Search styling info into separate module"

Clean up updatedmarker styling mess

This is the follow-up to d629541076c29ce4a7ec50d69a5e5969b409f16d
that b09bfb7bf6b811f9657a606d611a7f889a5e013e meant to be but failed.
It updates the right file this time, and removes the old override for
old skins.

Bug: T134515
Change-Id: I074688562e4da8c7c32d9f2bae67cd601e9b5f65

Make number of PBKDF2 iterations used for deriving session secret configurable

The intent is both to allow the number of iterations to be dialed up (either as
computational power increases, or on the basis of security needs) and dialed
down for the unit tests, where hash_pbkdf2() calls account for 15-40% of wall
time. The number of iterations is stored in the session, so changing the number
of iterations does not cause existing sessions to become invalid or corrupt.
Sessions that do not have wsSessionPbkdf2Iterations set (i.e., sessions which
precede this change) are transparently upgraded.

Change-Id: I084a97487ef4147eea0f0ce0cdf4b39ca569ef52

Update mediawiki/mediawiki-codesniffer to 0.7.2

Change-Id: I9371faef4b8a0b9c80ec41d8ba08f4ff4936791e

Improve @covers tags for LinkerTest

These hooks are now called from LinkRenderer, so make sure it is
covering the right code.

Change-Id: Ifaa28d471f585dce9d968cc1173c7fdceb408239

WatchedItemStore: Use callable type hint instead of Assert library

And remove an unused use statement.

Change-Id: Idb74a564088744d73f71f5ef17e8f84f6e484c69

SpecialSearch: Remove obsolete styles

Remove old Advanced PowerSearch table styles, which seem to not have
been in use for quite some time now.

Change-Id: I4c3013b035e146a8f8ad9622662491934c0c5389

OOUI HTMLForm: Allow specifying whether buttons are framed

Bug: T136361
Change-Id: Ic31f857c749d62a32cafae68dc3f1cbd86e1e382

RollbackAction: Don't return true, causes '1' to be output

Bug: T136375
Change-Id: Id994b7ee7044ce18cf245a219ba290970511ea0f

Separate Special:Search styling info into separate module

Almost all styling of this page has little to do with the JS module.
Separating it into a styles module.
Also made the selector for the JS elements far simpler, as there was
no reason for being overly specific here.

Bug: T136363
Change-Id: I96a35f930be26b26f139120f3e5b23c33a5d019e

Localisation updates from https://translatewiki.net.

Change-Id: I47fe8c2cc2ff6457d934627dbe71842a34e4c48d

Merge "Fix @covers tags for LinkRenderer tests"

Merge "Avoid system styling issue of <textarea>s in Firefox+Linux"

Merge "Revert "RollbackAction: Implement AJAX interface and require POST""

Fix @covers tags for LinkRenderer tests

phpunit's coverage report needs class names that include the namespace,
otherwise it'll just fail.

Bug: T136420
Change-Id: Ie748237176ea1363b35d73084e63e6fafe808286

Avoid system styling issue of <textarea>s in Firefox+Linux

Bug: T136415
Change-Id: I5ebfeb65f4eb5607b161b4f95822e7dbfeea6d8b

Merge "Fix ConfirmLinkSecondaryAuthenticationProvider error message name"

Revert "RollbackAction: Implement AJAX interface and require POST"

This partially reverts commit 9af38c046c.

* The new JS modules continue to exist. While not used by default,
  the mediawiki.api.rollback may be used elsewhere by now.
  The mediawiki.page.rollback module may still be used on cached
  pages and should continue to work.

* The new API behaviour remains.

* To avoid breaking mid-air rollbacks again, the token remains
  the same (plain "rollback" salt). We're not re-introducing the
  web-specific salt again.

Bug: T136375
Change-Id: Iba17ce55ff9506e838bfc6e70ca280e5a20b77b6

Fix ConfirmLinkSecondaryAuthenticationProvider error message name

Change-Id: I49f149004b3ad5c3eefbcbfcd0cfed64d9cbf522

Enable AuthManager by default

Second attempt, after fixing T135884.
(First attempt was I6695aa3da42fb2b088eaa8d1883ccbb67f2c0c38.)

Depends on:
https://gerrit.wikimedia.org/r/#/q/topic:authmanager-selenium,n,z

Bug: T135498
Change-Id: I756a82267cb9c44ec35146fbb4599b183747c741

Merge "Special:UserLogin: Consolidate create account buttons"

Sync up with Parsoid parserTests.

This now aligns with Parsoid commit b0d48342e0c540c17b2c073833d4a7ab147e2852

Change-Id: I9eb00fdc854eac7ddfc37520bd6b3cf8913db523

Merge "Use HTMLForm style sheets on mobile"

Merge "Make the call match the function definition."

Merge "Add LinksUpdate::getRevision()"

Merge "Parser: Make makeKnownLinkHolder() protected, and remove $query handling"

Add LinksUpdate::getRevision()

Similar to getTriggeringUser(). Also propagate it
to subjobs similarly.

Bug: T135959
Change-Id: I3d894acaf3d85b790e5034c7d9f76bf94672f445

Parser: Make makeKnownLinkHolder() protected, and remove $query handling

Extensions shouldn't be calling this, just the Parser, so make it
protected. And since the only caller passes an empty array for $query,
we can just remove it entirely.

Change-Id: I3adbcaabbb40870eb3df1495c3c2743ff21f0c64

LinkBatch: Use TitleValue instead of Title

Replace the remaining instances of Title with TitleValue, and use
services from MediaWikiServices instead of calling deprecated singleton
functions.

Change-Id: I5d13939a76380fff6b787cea8d4a5f90c1a31a5d

Have Linker::getLinkColour() accept LinkTarget objects

Change-Id: I7d7318099a822f9ddd88c538274511e6d8a8f1bc

LinkCache: Don't try looking up NS_SPECIAL

Change-Id: I1afe8c780c3b12ae806ac19c4efb37c7033951ca

Add tests for Linker::getLinkColour()

Change-Id: Ic1553e21def47f5c4923ba747146b36b0b3ffdfc

ChangesList: Use LinkRenderer instead of Linker::link()

Change-Id: Iae32a9e365aad268d2671df6a0b916e4d9c0a801

Merge "Parser: Replace Linker::link() with LinkRenderer"

Merge "Send edit stash metrics for cache attempts"

Merge "LinkRenderer: Re-implement noclasses as makePreloadedLink function"

Parser: Replace Linker::link() with LinkRenderer

Replaces usage of Linker::link() in Parser and LinkHolderArray with the
new LinkRenderer.

Change-Id: Icb796ef08d70926728732ab5468940c09ba5eaf8

Send edit stash metrics for cache attempts

Change-Id: I22d5626cca55c2cc35e1b33fced5902e8d364d40

Merge "TitleParser: In formatTitle(), don't throw exceptions on bad namespaces"

Whenever possible, reuse User objects in unit tests

The unit tests spend nearly half of their run time resetting the user table for
each test. But the majority of tests do not depend on the user table having the
exact value that the setup code resets it to, and do not need to modify the
user objects they require to run.

Fix that by providing an API for tests to get User objects, and to indicate
whether the User object will be subject to destructive modification or not.
This allows User objects to be reused across multiple unit tests.

Change-Id: I17ef1f519759c5e7796c259282afe730ef722e96

TitleParser: In formatTitle(), don't throw exceptions on bad namespaces

This ocassionally happens for whatever reason, but it doesn't really
make sense to throw an exception when creating a broken-looking link
would also work. We already do this for TitleParser::getPrefixedDBkey(),
and this also matches the behavior of Title::getNsText().

Bug: T136352
Bug: T136356
Change-Id: Ic7eb17f8917f7fbb28b11d94b742dac1fe5582a1

Merge "Revert "build: Bump grunt-karma and related tools to 1.0.x""

Merge "Bail out in ApiStashEdit for bots for sanity"

Localisation updates from https://translatewiki.net.

Change-Id: I04fc4e9de4d4d0f4c8a13d559d6eafa91f1d70ac

Bail out in ApiStashEdit for bots for sanity

checkCache() is disabled in this case anyway.

Change-Id: I1c18585eecc1a7c4c0e24546799c7ee448b3ea57

Revert "build: Bump grunt-karma and related tools to 1.0.x"

Karma is suspected to have an issue disconnecting Chromium.
That causes the qunit job to idle even after all tests have
been completed.

This reverts commit 72b0d9da08d6ea8c1842d76aaefe8e57046a2026.

Bug: T136188
Change-Id: Id818f5a0d1983d0bffa545f7731a780bf2b9bf25

Merge "Document thumbinner's block formatting context"

Merge "mediawiki.special: Remove unused mediawiki.special.js"

Document thumbinner's block formatting context

Document the side effect of setting overflow:hidden on thumbinner.
It's primary utility here is to clear the background of the block from
any floating content, avoiding potential overlap.

The property sets a new block formatting context.

Change-Id: I91b759cdd386cb648b1b704b0e7df708f6c4fa92

Exclude bots from edit stash stats

Change-Id: Id309879eaaf039de7ac5f531930fa8e758a959c7

Merge "registration: Add --config-prefix to convertExtensionToRegistration.php"

Merge "Revert "Thumbnails: allow overflow inside thumbnails""

Merge "mediawiki.special.apisandbox: Use module.exports instead of mw.special"

Merge "mediawiki.special.recentchanges: Use module.exports instead of mw.special"

registration: Add --config-prefix to convertExtensionToRegistration.php

For converting extensions that use custom prefixes.

Change-Id: I4fcf7ff2af04e9a0367de368503f2c70d8fed959

Merge "Follow-up 276c30e: Use the correct hex for the green we want"

mediawiki.special: Remove unused mediawiki.special.js

'mediawiki.special' violates T92459 due to having both script and styles and
being loaded as a styles-only module. This avoids the warning from I8b6c6a10d.

> Unexpected general module 'mediawiki.special' in styles queue.

mw.special was first introduced in r90943 (d4abcb526806). I regretted recommending it.

Change-Id: I7bb000c9946d194fd1ae7f9a18fbc031ba225f25

mediawiki.special.apisandbox: Use module.exports instead of mw.special

mw.special.ApiSandbox is not used anywhere, and it's an easy candidate for
converting to the new module export pattern.

This removes the last use of the 'mediawiki.special.js' file, which violates
T92459 due to having styles.

Change-Id: I9b6972d763f34d50479099d4d726d1c77a91c223

mediawiki.special.recentchanges: Use module.exports instead of mw.special

This isn't generally used as a public method. The only reason it's exposed is
for an integration test to access it.

This commit and others prepare for removal of the 'mediawiki.special.js' file.
This script does nothing other than create "mw.special = {};". While that init
pattern is common in extensions and not wrong, 'mediawiki.special' violates
T92459 due to having styles. Given there's only script uses of it, it's easiest
to remove it in favour of the new module export pattern.

Change-Id: I2e78828828601e1160550efe02c07172ac32e985