Ich musste leider feststellen, dass sich diese beiden Extensions nicht ohne weitere Änderungen miteinander vertragen. Der Effekt besteht darin, dass perfectlightbox aus irgendeinem Grund versucht die Sitemap als Grafik zu laden. Eine einfache Lösung habe ich unter http://wowa-webdesign.de/typo3/typo3-tutorial-teil-41-inhalte-anlegen-sitemap/ gefunden.

Man geht einfach im Konstanten-Editor auf die Kategorie  PERFECTLIGHTBOX(27) und wählt dort den ersten Punkt Which Javascript Librarys to use? aus und stellt von protaculous auf mootools um.

Schon vertragen sich die Extensions.

Dabei ist mir aufgefallen, dass es unter http://wowa-webdesign.de/typo3-kurs/ mehr als 60 Folgen eines Typo3-Kurses gibt.

Bei Typo3 benutze ich gern simulateStaticDocuments um nettere URLs zu bekommen. Bei den aktuellen 4.3.x-Versionen muss man dabei aufpassen, dass die Extension Simulate Static URLs (simulatestatic) aktiviert ist.

In dieser Typo3-Version wurden einige Funktionen in System-Extensions ausgelagert, so auch diese Funktion. Standardmäßig ist die Extension aber nicht aktiviert.

Bei momentan aktuellen Systemen mit Typo3 4.3 und der Extension date2cal gibt es im Backend eine Vielzahl von Warnungen der Art

Core: Error handler (BE): PHP Warning: fopen(/srv/www/xxxx/httpdocs/typo3temp/tx_date2cal/date2cal_cache.php): failed to open stream

Ursache ist das Fehlen des entsprechenden Verzeichnisses. Das Problem ist beseitigt, wenn man unterhalb von typo3temp den Ordner tx_date2cal per Hand anlegt.

Nachtrag:  Tobias gibt noch den Hinweis, dass date2cal unter Typo3 4.3 nicht mehr notwendig ist, hier wird datepicker mitgeliefert.

Ich hatte das Problem, dass bei der Extension Drowdownsitemap der Text in Englisch war, das stand dann Expand / Collapse all statt …

Da es keine Konfigurationsmöglichkeit gibt musste es an den Systemeinstellungen liegen:

config.language = de

in der Konfiguration des root-Tempates bewirkt dann die Umstellung auf den gewünschten Text Alles aus-/einklappen.

Ich bin eben über einen kleinen Unterschied gestolpert. Bei einer Typo3-Installation funktionierte die cal-Extension nicht, das Backend blieb weiß. Ursache war, dass eine Programmkomponente den Include-Path erweitern wollte, was aber nicht funktionierte. Es schein so zu sein, dass der Include-Pfad nicht von PHP_programmen aus geändert werden kann, wenn in der Konfigurationsdatei der Befehl lautet:

    php_admin_value include_path "/srv/www/vhosts/meine-domain.de/httpdocs:./:/srv/www/vhosts/typo3_src-4.1.10"

Bei der Version:

    php_value include_path "/srv/www/vhosts/meine-domain.de/httpdocs:./:/srv/www/vhosts/typo3_src-4.1.10"

klappt das Erweitern des Pfades hingegen.

Es gibt einen Fehler in allen Typo3-Versionen, die älter sind als eine Woche (siehe http://www.heise.de/security/news/meldung/132475). Der Fehler ist so billig auszunutzen, dass dringend alle Seiten aktualisiert werden müssen. Der Mechanismus ist so blöd wie einfach.

Man übergibt einem Typo3-System eine URL der Art:

http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:

Im Prinzip dfordert man hier die Datei localconf.php zum Download an.  Typo3 beschwert sich

jumpurl Secure: Calculated juHash, d29a901ee3, did not match the submitted juHash.

gibt dabei den Hash an, den es erwartet. Dann erweitert man die URL eben entsprechend:

http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:&juHash=d29a901ee3

Schon startet der Download der localconf.php. In der Datei findet man dann die Zugangsdaten für die Datenbank und den Hash vom Passwort für das Install-Tool.

Damit kann man dann schon etwas anfangen, den Hash kann man an einige Hacker-Seiten übergeben, die solche Hashes sammeln und ggf. das Passwort liefern können:

Konsequenzen:

  • Install-Tool unbedingt disabeln
  • sichere Passwörter setzen (den Hash testen s.o.)
  • immer neueste Typo3-Version nutzen
  • Zugriffe auf die Datenbank nur lokal erlauben