Moodle release 3.11.18

weekly release 3.11.17+

MDL-79980 mod_survey: remove responses link if user cannot access.

MDL-80309 tasks: Clean up mtrace logs

MDL-79980 mod_survey: respect activity group mode getting report.

MDL-41465 reports: In separate group mode, limit to same group users

MDL-79759 repository_url: Remove types properties

MDL-79759 repository_url: Limit css imports and remove fragments

There are checks to urls that attempt to limit recurrsion when
parse_file is called. This is problematic for css import urls that
can call an indefinite amount of nested import urls. An import limit
has been introduced to address this. Fragments have also been removed.

MDL-80174 tool_log: ensure "other" data is safely unserialized.

MDL-80268 badges: require capability to view awarded badges.

MDL-79797 backup: ensure block config is safely unserialized.

weekly release 3.11.17+

weekly release 3.11.17+

MDL-78496 environment: Moodle 4.4 requirements

The only changes to requirements since Moodle 4.3 are increases to:

* the minimum PHP version required; and
* the minimum required Moodle version.

weekly release 3.11.17+

MDL-79603 mod_scorm: Behat coverage for Scorm package display options

weekly release 3.11.17+

MDL-79981 core: Add ability to manually run and filter phpunit on GHA

MDL-80029 grade: Behat test fixes

* Feature: We can use a minimum grade different than zero
  - Use correct minimum input values.
  - Use data generators for faster test execution.
* Scenario: Disable category overriding
  - Use the field name to ensure that the correct field is being tested.

Cherry-picked from MDL-79062.

weekly release 3.11.17+

MDL-79768 fix: Fixed random failing Behat due to time difference

MDL-79768 mod_data: Test for student can see upcoming data activity

weekly release 3.11.17+

MDL-79689 mod_assign: Behat for enabling anonymous submissions

MDL-79691 mod_h5pactivity: Behat coverage for H5P activity grades reset

MDL-79698 core: Correct duplicate array key in test provider

weekly release 3.11.17+

MDL-79653 gradingform_guide: Behat coverage for deleting marking guide

MDL-79638 phpunit: Add unit test for increment resets

MDL-79638 phpunit: Adjust version checks for mysql/mariadb hack

This hack was introduced to work around a bug in MySQL 5.6.14 and
MariaDB at the time.

https://bugs.mysql.com/bug.php?id=69882

It was addressed a few months later in 5.6.16, and 5.7.4.
MariaDB merged version 5.6.16 of MySQL's InnoDB engine in MariaDB
10.0.11 and got the patch from there.

Moodle has required MySQL 5.7, and MariaDB 10.2.29 since Moodle 3.11 and
it is therefore safe to remove these hacks for these versions.

Moodle release 3.11.17

weekly release 3.11.16+

MDL-79310 enrol: restrict searched users to those user can view.

MDL-79310 forumreport_summary: report only on users who can be viewed.

MDL-79310 mod_forum: ensure only visible users can be exported.

MDL-79509 mod_wiki: Improve comment editing

MDL-72249 message: stricter cleaning of processor type parameter.

MDL-79426 gradeimport_csv: safely preview CSV content during import.

MDL-79455 tool_uploadcourse: clean course data fields individually.

MDL-79455 tool_uploadcourse: safe preview of uploaded course data.

MDL-79409 mod_imscp: appropriate unserialization of package structure.

MDL-79408 mod_lesson: safer unserializing/comparison of properties.

MDL-77846 core: Make endpoint revision number checks stricter

In some places we prevented cache poisoning, in others we did not. We
also did not place any restriction on the minimum value for a revision.

This change introduces a new set of functions for configonly endpoints
which validates the revision numbers passed in. If the revision is
either too old, or too new, it is rejected and the file content is not
cached. The content is still served, but caching headers are not sent,
and any local storage caching is prevented.

The current time is used as the maximum version, with 60 seconds added
to allow for any clock skew between cluster nodes. Previously some
locations used one hour, but there should never be such a large clock
skew on a correctly configured system.

Co-authored-by: Andrew Nicols <andrew@nicols.co.uk>

MDL-66730 core_course: Improve permission check for category moving

Co-authored-by: Erica Bithell <egb10@cam.ac.uk>

MDL-78820 h5p: use fullname of current user as the xAPI actor name.

MDL-78969 oauth2: remove auto-login after successful confirmation

With the new flow, users can go to the login page from the confirmed page,
and if the user successfully logs in, the user will be directed to the confirmed page.
To avoid that, the confirmed page can only be seen by users who are not logged in.

weekly release 3.11.16+

MDL-79247 forum: Workaround same-time discussion modified dates bug

Within the forum_get_discussion_neighbours() function of forum
when the discussions timemodified (last post) is the same, there
is a bug that does strange things when calculating the prev and
next discussions.

Note that, in real life, this is really hard to achieve, but in tests,
when multiple discussions and post can be created by generators in the
same second (specially when the test machine is quick), chances of
facing that problem are higher.

By adding 1 second wait, we ensure that the discussions won't have
the same timemodified (last post) and workaround the problem.

No mater of that, the problem deserves an issue to be created
so we guarantee from code that it also works ok when the same
timemodified (last post) situation happens.

MDL-79247 forum: Make discussion list ordering deterministic

Note that normally this doesn't matter much, but there are situations
when we want the discussion list ordering fully consistent /
deterministic.

Specifically, when discussions (or forum posts )are created in the
same second, or when the discussion titles are repeated, or 2
discussions have the same number of votes... (any criteria in general),
in the context of testing, we don't want the order
to be non-consistent, so we need to provide an extra sorting
criterion to make it fully deterministic.

So, in this case, we are adding a sort by discussion.id <<DIRECTION>>
that is an unique value, primary key... so cheap to calculate and,
that way, when the 1st sorting column has repeated values, the id
will decide.

weekly release 3.11.16+

weekly release 3.11.16+

MDL-79360 filter: fix nolink tag regression from MDL-77525

weekly release 3.11.16+

MDL-79195 core_course: Activity and resource description display behat

MDL-78806 mod_assign: Use new Behat step for checking page title

MDL-78806 behat: Create a step that for checking the page title

Create a Behat step "the page title should contain ':title'" to check
the page title.

weekly release 3.11.16+

MDL-79220 mod_glossary: Behat for glossary entry with attachment

MDL-79246 gradingform_rubric: Use i_click_on for behat clicks

MDL-76459 xmldb: Add environmental check to verify $CFG->prefix

While, right now, sites using long (> 10 chars) $CFG->prefix
can continue working (because we still don't have any table
> 28 chars), as soon as some new table with long name is added,
it won't work with PostgreSQL anymore (if the 63 limit is raised).

Hence, this environmental check will verify on both install and
upgrade that the $CFG->prefix is always <= 10 chars.

Sites with longer prefixes will need to rename all their tables
(and maybe other objects, depending on the dbtype) to use a shorter
prefix.

weekly release 3.11.16+

MDL-77831 core: Updated security.txt expiry and added additional info

MDL-79207 core_course: Behat coverage for activity and resource deletion

weekly release 3.11.16+

MDL-79015 behat: make verification step more specific

MDL-78965 mod_quiz: Behat coverage for quiz with certainty-based marking

MDL-79015 mod_lesson: Behat coverage for lesson with access restriction

MDL-78941 mod_quiz: Behat coverage for student flagging quiz questions

MDL-79017 core: re-factor method to unserialize array.

We can use the existing helper for object unserialization as the
base for this method, rather than manual string parsing.

weekly release 3.11.16+

MDL-78684 behat: fix behat failures

MDL-77695 behat: use automatic completion to award badges

MDL-78938 course: Wrap manual completion toggle in pending

This commit makes two changes to reduce random failures in behat:
- wrap the toggling of manually configured completion in pendingjs
- set the loading spinner content without forcing the completion toggle
  ws to wait for the loading spinner to update.

MDL-78938 report_progres: Wrap completion status update in pending

Moodle release 3.11.16

weekly release 3.11.15+

MDL-78685 auth_oauth2: Added logged-in status check

MDL-78620 auth_cas: Pass base service URL for the CAS client

Since phpCAS v1.6.0, a required base service URL parameterneeds to be
passed to phpCAS::client(). This is basically the protocol, hostname,
and port number (optional) of the site connecting to the CAS server
in order for it to perform service URL discovery.

MDL-78620 auth_cas: Bump thirdpartylibs version to 1.6.0

MDL-78620 auth_cas: Update phpCAS to v1.6.0

MDL-78620 lib: Set Moodle files after phpCAS upgrade

MDL-78620 lib: Upgrade phpCAS to 1.5.0

MDL-78620 auth_cas: Set Moodle files after phpCAS upgrade

MDL-78620 auth_cas: Upgrade phpCAS to 1.4.0

MDL-78763 tool_policy: Initialise returnurl as a moodle_url in viewall

MDL-78792 message: access checks in processor fragment callback.

MDL-74289 lib: Improve the proxy bypass matching

MDL-78843 behat: update get_forum_id to search for idnumber or name

This commit also converts manual steps to create discussions on the
Annoucements forum to data generator.

MDL-78647 files: safer unserializing of file reference data.

MDL-66212 tool_lpimport: properly check capabilities

The moodle/competency:competencymanage capability should be checked
before showing the import and export pages.

MDL-78340 Blocks: Dashboards now respect block permission overrides

Patch makes user dashboard respect permission overrides
that have been set on individual blocks on the system
dashboard (indexsys.php). When a user dashboard is created
either when the user visits their dashboard for the first
time or after an admin reset. When blcoks are copied to
the new dashbaord overriden permissions are also copied.

MDL-71728 mod_quiz: check if user can access this page

MDL-74544 lib: Set Moodle files after JQuery UI upgrade

MDL-74544 lib: Upgrade JQuery UI to 1.13.2

weekly release 3.11.15+

MDL-78498 mod_forum: Prevent race condition in forum recent activity

* Using the generator to create the forum discussions, the timecreated
of a discussion can be set before the user's last course access which
will prevent forum_print_recent_activity() from including this generated
discussion in the recent activity results. To work around this, generate
the forum discussion 1 second after the current time to make sure that
the user's last course access will always be before the discussion's
creation time.
* This patch also includes some optimisations by:
  - Removing the unnecessary @javascript tag for the
    `Time limit expires` scenario
  - Bringing the discussion generation to each scenario to allow each
    scenario to customise the data passed to the generator like for the
    `Time limit expires` scenario.
  - Navigating directly to the forum instance.

MDL-78498 behat: add support for private replies

This commit adds support for private replies in the
'the following forum replies exist in course' custom step.

MDL-78498 Behat: Use data generators for forum posts and replies

This commit does few things:
* Replace manual forum posts and replies to use data generator.
* It also changes the code to handle social forums.
* Other behat clean-ups and optimization.

Co-authored-by: Simey Lameze <simey@moodle.com>

MDL-78684 Behat: Replace gradebook navigation to use page resolvers

This commit also does other things such as:
- Replace manual steps to setup gradebook by data generators
- Added support for outcomes and scales page resolvers
- Behat clean up

weekly release 3.11.15+