Use rbx in Travis instead of rbx-2.0

Add bundle exec to .travis.yml

Update .travis.yml

prevent crash when cookie doesn't contain "--"

This backports 881ce764f3fd70a20c5800892a132f1e6c8e7c50 so that rack
won't crash when there isn't a "--" in the rack_session cookie

Fixes #523

Use the non deprecated version of source

Bump version number

Update README for todays releases

Use secure_compare for hmac comparison

 * Closes CVE-2013-0263

Add secure_compare to Rack::Utils

Conflicts:
test/spec_utils.rb

Bump version

Update README for release. Add security section.

Remove error test, implementation not backported

 * Closes #493

Squash warnings in spec_auth

Reimplement auth scheme fix

 * Add Rack::Auth.add_scheme to enable folks to fix anything that breaks
 * Add common auth schemes, MS ones, AWS ones, etc are missing, as unlikely
 * Checked Rails - they don't use our authorization code
 * Checked Warden - uses rails
 * Checked Omniauth - uses rails
 * Checked doorkeeper - users rails
 * Checked rack-authentication - does it's own thing
 * Checked warden-oauth - doesn't do headers
 * Checked devise - uses rails
 * Checked oauth2-rack - header creation only
 * Checked rack-oauth2-server - does it's own thing
 * Probably missed a bunch, but that'll have to do

Add release announcements to README

Bump to 1.3.8

multipart/parser: avoid unbounded #gets method

Malicious clients may send excessively long lines
to trigger out-of-memory errors in a Rack web server.

Bump to 1.3.7

Update README based on master

Fix parsing multiple ranges

Fix parsing miltiple ranges in HTTP_RANGE header according to w3 rfc2616 (according to last example in sec14.35.1 http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35.1 ) (according to BNF rules in http://www.w3.org/Protocols/rfc2616/rfc2616-sec2.html#sec2.1 )

Add a note in KNOWN-ISSUES regarding ECMA escape

Refactor spec_cascade and spec_head

 * StringIO is a better choice than a struct here.

Rack::Response now conforms to body.close SPEC

 * Previously 204, 205 and 304 bodies were not closed correctly.

Rack::Head now conforms to body.close SPEC

Conflicts:
test/spec_head.rb

Cascade now conforms to the body.close SPEC

Clarify the body.close spec section

 * This item is frequently missed, including in core.
 * This is not a change in semantic requirement, and does not update the SPEC
   version.

Ensure that deflater always closes bodies.

Closes #349

Rack::BodyProxy#each, fixes rack/rack#434

Prevent infinite recursions from Response#to_ary

Closes #419

Return a bad request for malformed basic auth

Closes #438

rescue Errno::ESRCH for windows, fixes #391

Add redrawn logos by Zachary Scott

Date: Mon, 22 Oct 2012 10:29:22 -0400
Message-ID: <CAH6G9XNkVkUWh9JPT9HuHzJ4KmRNoPSr8ov3q0rgzH3b=u3cGw@mail.gmail.com>

On Mon, Oct 22, 2012 at 10:17 AM, Christian Neukirchen
<chneukirchen@gmail.com> wrote:
> Is it ok to put the other files as MIT license into contrib/?
> (Perhaps add a copyright message to the .svg)

Whatever you want, they're all yours.
Thanks!

Update years in license

Use backport of URI module even on ruby 1.9.2-p320.

Added missing dependence on 'timeout' in test/spec_utils.

Fix request loop on non-stale nonce with time_limit parameter.

Set __LINE__ correctly for rackup files.

Before this change the line numbers were off by one, which broke
debugging tools like Pry in addition to causing a smidgen of user
confusion.

Reported-At: https://github.com/pry/pry/issues/571

update the dead link
remove the dead link

use internet archive for a dead link

added working link

Improve pidfile reporting and test coverage

 * Output reduced to a single line
 * Integration test added that also suppresses and checks output

Check if the PID in pidfile is still running #371

Then abort or remove the pidfile

Check that the pidfile is not already present before overriding it

point to github page instead of rubyforge

rackup: include the value of each -I command line option in $LOAD_PATH

`rackup -h` says '-I' can be used more than once.  However, instead of adding
each value to $LOAD_PATH, rackup would discard the value of all but the last
'-I' option.

Signed-off-by: Anurag Priyam <anurag08priyam@gmail.com>

Skipping empty params inside query what lead to parsing error.

Example of these cookies would be: "foo=bar,;bar=foo" or ",foo=bar;,"

Conflicts:
test/spec_utils.rb

don't load broken backports on jruby, either

fix version comparison, again

fix version comparison

regexp issue has been fixed in Ruby 1.9.2-p381

Use `const_defined?` so that it only checks withing the scope of URI.

Don't load the backport for uri/common.rb when running 1.9.3-p125 and beyond

Uh. Put the conditional on the CORRECT line. :sweat:

Only remove a constant if it exists.

Backported fixes for:

  http://bugs.ruby-lang.org/issues/5925

Relevant commit:

  https://github.com/ruby/ruby/commit/edb7cdf1eabaff78dfa5ffedfbc2e91b29fa9ca1

Fix parsing performance for unquoted filenames

Special thanks to Paul Rogers & Eric Wong

Conflicts:
test/spec_multipart.rb

Add warning to strongly recommend to people to have secrets protecting their cookies

Release notes and version bump

Limit the size of parameter keys

Signed-off-by: James Tucker <jftucker@gmail.com>

Bump to 1.3.5  (aaah, laptop power running out...)

Add release note for 1.3.5

fixes #246. Silence the warning about redefining this constant from the standard library.

Gahhh TAAABBZZZ

Bump version number

Correct 1.3.4 release message

Conflicts:

README.rdoc

Update README for the 1.3.4 release

Use the modern mongrel that should work on jruby and 1.9

Adding travis-ci yaml setup... going to need to fix up the environment

Add a Gemfile, this is purely for travis-ci

Simplify BodyProxy#close to avoid horrible loop conditions in streaming
scenarios, and save users from themselves

Add some documentation to cover distribution differences in /etc/mime.types.
Closes #187.

Added backport of Ruby URI's 1.9.3 DoS fix

Regression test for DoS attack on form/cookie param decoding

See http://redmine.ruby-lang.org/issues/5149

fix issue with Thin and Rack::BodyProxy on Ruby 1.9.2

Bump version!

Update for release date

update changes for 1.3.3

BugFix in ConditionalGet; don't crash when we get a malformed HTTP_IF_MODIFIED_SINCE timestamp

Fix bugs with MRI 1.8.x regex engine

Ignore tarballs from releases

Make tests easier to run cross-interpreter

Fix for psych

make tests pass on 1.8 again

better error message when unable to parse cookie, see #225

refactor Request#cookies, fixes #225

Fixed an unhandled condition where req.GET or req.POST could be nil if a URI
such as a=1&a[]=1 was parsed.

Fix mod_xsendfile url

Bump version

Update for the 1.3.2 release

Conflicts:

README.rdoc

Rack::Utils.escape should work with symbols in Ruby 1.8.7

Bump version

Update readme pending patch release

Merge pull request #206 from brendan/19451fc0463ec424fa368cac05be15c75e87e016

Fixed a Regexp that allows bad urls to DoS you.

Fixed a Regexp bug that can DoS your box.

Edited lib/rack/sendfile.rb via GitHub

update changes

prepare readme for 1.3.1

Have MockRequest call close on the body rather than MockResponse.
That way close is called automatically when testing just with
vanilla Rack, but not called twice when using other testing libs
like rack-test.

Related to #191.

test for Rack::Response#close

call #close on body in mock responses

Minor error in documentation regarding the order of parameters in HTTP_X_ACCEL_MAPPING.

make sure the Cache-Control header can never be nil