Add Gemfile

Merge pull request #523 from bdimcheff/fix-missing-digest

prevent crash when cookie doesn't contain "--"

prevent crash when cookie doesn't contain "--"

This backports 881ce764f3fd70a20c5800892a132f1e6c8e7c50 so that rack
won't crash when there isn't a "--" in the rack_session cookie

Bump version number

Update README for todays releases

Use secure_compare for hmac comparison

 * Closes CVE-2013-0263

Add secure_compare to Rack::Utils

Bump version

Update README for release. Add security section.

Conflicts:
README

Squash warnings in spec_auth

Update spec_auth to work with test-spec

Reimplement auth scheme fix

 * Add Rack::Auth.add_scheme to enable folks to fix anything that breaks
 * Add common auth schemes, MS ones, AWS ones, etc are missing, as unlikely
 * Checked Rails - they don't use our authorization code
 * Checked Warden - uses rails
 * Checked Omniauth - uses rails
 * Checked doorkeeper - users rails
 * Checked rack-authentication - does it's own thing
 * Checked warden-oauth - doesn't do headers
 * Checked devise - uses rails
 * Checked oauth2-rack - header creation only
 * Checked rack-oauth2-server - does it's own thing
 * Probably missed a bunch, but that'll have to do

Bump to 1.1.4

Update README based on the one from master

Make the Rakefile usable in presence of new RDoc

Add warning to strongly recommend to people to have secrets protecting their cookies

Conflicts:
test/spec_rack_session_cookie.rb

Bump version, and add release notes

Backport `Limit the size of parameter keys`

Fix errors caused by different stdlib logger

Backport set_cookie_header! and delete_cookie_header! fixes from master, affecting rack-cache and rails 2.x

Lets move things forward... (working test runs again)

hack out tests

Version 1.1.2

MD5 Digest auth: fail if authenticator returns nil

Fixes the authenticator API to deny access if nil is returned from the
authenticator block. Without this patch, the nil gets to_s'd to "" and
an empty password would be accepted.

Backported to rack-1.1.

Signed-off-by: Christian Neukirchen <chneukirchen@gmail.com>

Bump to 1.1.1

Use Rack.release instead of two separate strings

improve gemloader to include runtime deps if any, and not break on complex requirements

Fix daemonize issues, may need picking into master

Fix cgi spec against implementation (same as master)

Use gemloader to run against older development dependency gems

Add gemloader script that will provide the ability to activate development dependencies at the correct version for point releases

Add stage to gitignore

Update for 1.1.1 release

Fix failing and invalid tests

Fixup development dependencies in gemspec, as newer versions now cause breakage

mark as rack-1.1.1.pre

removed parsing of quoted values

Signed-off-by: raggi <jftucker@gmail.com>

Set 1.1 release date

Update copyright messages

Remove brittle spec that relies on unstable marshal format

Revert "Add --chdir option to rackup"

This reverts commit b5a47e25cf65ad2d87cf9e20474ca372ed91c1b0

Add --chdir option to rackup

Use "config" instead of "rack_file"

Add shebang back to rackup

Note nosqueeze change

Merge remote branch 'origin/nosqueeze'

Add previous change to changelog

Tag not found responses from file servers with X-Cascade header

Prepares internal file servers for revised Rack::Cascade that looks
for a magic header instead of discarding all 404 responses.

whoops, bad restoration

Restore old school tar release tools

Bump version and release to 1.1

update README, Sunshowers is not a web server

Sunshowers is a library that can enhance Rack::Request when
used with Rainbows! but is not a server itself.  Additionally,
the official name for Rainbows! is "Rainbows!" with a bang.

Signed-off-by: Christian Neukirchen <chneukirchen@gmail.com>

Update web server list in README

Update README

Modernize packaging and publishing tasks for gemcutter

ignore dist tmp files

Prepare release notes for 1.1

Test case for matching mutliple /'s in URLMap

URLMap matches multiple /'s but does not modify PATH_INFO

Don't munge PATH_INFO in URLMap

Failing testcase for URLMap squeeze issue

Use Content-Type to determine POST params parsing [#20]

Reverts the hard test for a 'PUT' request method (8d01dc0) and
uses the Content-Type to determine whether to read into the
request body. The Request#POST method parses the request body
if (and only if) either of the following conditions are met:

1. The request's Content-Type is application/x-www-form-urlencoded
   or multipart/form-data. Note: the REQUEST_METHOD is ignored in
   this case.

2. The original REQUEST_METHOD is 'POST' and no Content-Type header
   was specified in the request. Note that we use the REQUEST_METHOD
   value before any modifications by the MethodOverride middleware.

This is very similar to how this worked prior to 8d01dc0 but
narrows the 'no Content-Type' special case to apply only to
POST requests. A PUT request with no Content-Type header would
trigger parsing before - with this change only POST requests
with no Content-Type trigger parsing.

Status code lookup utility

Extract parse_query and parse_multipart in Request so subclasses
can change their behavior [#71 state:resolved]

Request#host knows about forwared host [#77 state:resolved]

Request#user_agent

exclude rackup tests by default because they often stall

Mention fix-root-scriptname in KNOWN-ISSUES

Merge branch 'master' of github.com:rack/rack

ignore rackup log output

NullLogger should actually be a middleware

Simple rack logger middleware that wraps rack.errors

Nop NullLogger

rack.logger specification

Import Ryan's Sendfile from contrib into core

Import runtime middleware by paul (Paul Sadauskas) into core

Import etag middleware from contrib into core

Import Config by jcrosby (Jon Crosby) into core

Reverse hash for looking up status codes by symbol

HeaderHash#each yields Lint-OK multivalue headers

Rack::Lint does not allow header values yielded by #each to be
non-String objects, so we join them like we do in #to_hash.
This finally allows HeaderHash to be passed in the Rack response
as a header without needing #to_hash.

Signed-off-by: Joshua Peek <josh@joshpeek.com>

CommonLogger uses HeaderHash to lookup Content-Length

Since HeaderHash is cheaper to use now, encourage its usage
instead of reinventing a way to lookup header values with
an enforced O(n) overhead.

Under best conditions, this can now be done in O(1) time if the
rest of our middleware stack already uses (and passes)
HeaderHash.  This does make things slower if CommonLogger is the
only middleware in the stack, however that's probably not too
common.

Signed-off-by: Joshua Peek <josh@joshpeek.com>

avoid HeaderHash#to_hash in middlewares

Since HeaderHash objects are valid header responses, avoid
converting the headers to Hash objects only to have it
reconverted back to HeaderHash in the next middleware.

Signed-off-by: Joshua Peek <josh@joshpeek.com>

HeaderHash.new avoids unnecessary object creation

Creating a new HeaderHash is an O(n) operation in addition to
the cost of allocating a new object.  When using multiple pieces
of middleware, this can lead to unnecessary memory allocation
and iteration overhead.   We now explicitly define the
HeaderHash.new class method to return its original argument if
it is already a HeaderHash to avoid repeating work.

Signed-off-by: Joshua Peek <josh@joshpeek.com>

Fixed multipart parameter parsing for when a field's body ends at the same time as a chunk (i.e. we've reached EOL and buffer is empty)

Introduce failing test case for multipart parser when it slices exactly on a boundary and patch multipart parser so it passes it - the failing test case comes with a sample payload specific to the fact that the default bufsize used by the multipart parser is exactly 16384.  should this default be changed, the test will no longer apply.

Tell people to report bugs to lighthouse

Don't delete PATH_INFO from env in fastcgi, mongrel, and webrick
handlers because PATH_INFO must not be nil according to SPEC
[#75 state:resolved]

Merge branch 'memcache-session-bugfix'

* memcache-session-bugfix:
  Test-fix for shallow copy change checks
  Added test for deep hash checks, prevent shallow copy check failure
  Session::Memcache fixes
  Updating Session::Memcache test
  Inlining of #merge_sessions

Test-fix for shallow copy change checks
Simplification of new/missing session keys

Added test for deep hash checks, prevent shallow copy check failure
Rewording variables for clarity

Session::Memcache fixes

Restructing logical branches to be less inlince
Uniform naming of variables
Fix of of inline session merging

Updating Session::Memcache test

Pointless instantiation removed
Moved bad connection check above good connection check
A blank string for the server specification uses defaults, fixed

Inlining of #merge_sessions

Merge branch 'quoted-string-cookies'

* quoted-string-cookies:
  Test added to check to ensure that quoted values are properly parsed

Test added to check to ensure that quoted values are properly parsed
Using a regular expression to identify quoted string values, could be optimized

Fix typo on lib/rack/session/pool.rb

Added mime type for .manifest (HTML5 offline storage)

Response should call #to_i on the status, as per the spec.

"The status, if parsed as integer (to_i), must be greater than or equal
to 100."

Extract the option parser

Signed-off-by: Joshua Peek <josh@joshpeek.com>

Initial removal of OpenID related files
Removal of references in Rakefile and the core include