E' stata scoperta una vulnerabilità del tipo SQL injection nella gestione file di Contao. La vulnerabilità è sfruttabile solo dagli utenti collegati al backend. Il problema interessa tutte le versioni di Contao a partire da Contao 4.1 ed è stato corretto in Contao 4.4.39 e Contao 4.7.5.

Ciao Elena, 1) io li metto sotto files (probabilmente avrai già notato che, diversamente dalla versione 3.x le cartelle sotto file sono accessibili tramite url solo se espressamente specificato) e rendo pubbliche solamente le cartelle con i file compilati (uso bootstrap con scss credo sia un setup abbastanza comune), In ogni caso ti consiglio di aggiungere il css e il file js al layout di modo che si occupi contao di minificarli e raggrupparli insieme agli altri. 2) per vedere le modifiche ti basta svuotare la cache con il comando contao-console cache:clear --env=dev --no-warmup devi specificare env=dev se stai accedendo al backend tramite app_dev.php/contao oppure se utilizzi l'ambiente di produzione devi specificare env=prod

Sono d'accordo, io credo fortemente in Contao e sto lavorando ad un progetto finalizzato proprio ad incrementare la diffusione di questo cms. Sicuramente vi renderò partecipi appena avrò qualcosa di concreto :-)

su linux l'installazione dovrebbe essere davvero semplice, hai già dato un'occhiata a questo? In particolare la sezione "Installing with composer" https://docs.contao.org/books/manual/current/en/01-installation/installing-contao.html Devi solo assicurarti di avere un virtualhost su apache che abbia come DocumentRoot la cartella web

non so cosa intendi esattamente con "il discorso della document root", se mi dai qualche informazione sul tuo ambiente di sviluppo ti do una mano, in ogni caso alcune cose sono ormai imprescindibili (non perchè lo richiede contao 4.4 ma perchè siamo nel 2019 :-p ) come ad esempio un virtualhost su apache per ogni sito. ti assicuro che, a parte la curva di apprendimento iniziale, è tutto molto semplice e lineare a patto di avere un ambiente di sviluppo adeguato.

Ciao Elena, come ti ho già risposto sul forum internazionale l'algoritmo usato è il CRYPT_BLOWFISH per quanto riguarda l'installazione ti consiglio di usare composer: composer create-project contao/managed-edition <target> dove <target> è chiaramente la directory di destinazione. Ormai uso regolarmente Contao 4.4 per i miei progetti e, a parte qualche piccolo problema iniziale dovuto alle differenze con la versione 3.5, sta procedendo tutto per il meglio.