Prevent signals from being sent to pid 0

 * Closes #544

Bump version number

Update README for todays releases

Prevent symlink path traversals

 * Closes CVE-2013-0262

Use secure_compare for hmac comparison

 * Closes CVE-2013-0263

Add secure_compare to Rack::Utils

Conflicts:
test/spec_utils.rb

Use Dir.tmpdir instead of hardcoded /tmp

Closes #492

Bump version

Update README for release. Add security section.

Squash warnings in spec_auth

Reimplement auth scheme fix

 * Add Rack::Auth.add_scheme to enable folks to fix anything that breaks
 * Add common auth schemes, MS ones, AWS ones, etc are missing, as unlikely
 * Checked Rails - they don't use our authorization code
 * Checked Warden - uses rails
 * Checked Omniauth - uses rails
 * Checked doorkeeper - users rails
 * Checked rack-authentication - does it's own thing
 * Checked warden-oauth - doesn't do headers
 * Checked devise - uses rails
 * Checked oauth2-rack - header creation only
 * Checked rack-oauth2-server - does it's own thing
 * Probably missed a bunch, but that'll have to do

Remove warnings: 'not used variable' and 'shadowing outer variable'

Add release announcements to README

Bump to 1.4.3

multipart/parser: avoid unbounded #gets method

Malicious clients may send excessively long lines
to trigger out-of-memory errors in a Rack web server.

Bump to 1.4.2

Update README based on master

Fix parsing performance for unquoted filenames

Special thanks to Paul Rogers & Eric Wong

Conflicts:
test/spec_multipart.rb

Fix parsing multiple ranges

Fix parsing miltiple ranges in HTTP_RANGE header according to w3 rfc2616 (according to last example in sec14.35.1 http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35.1 ) (according to BNF rules in http://www.w3.org/Protocols/rfc2616/rfc2616-sec2.html#sec2.1 )

.woff now has an official mime type!

 * Closes #405

Do not fail on cookies that are not URI escaped

 * Closes #360

Conflicts:
test/spec_request.rb

Add a note in KNOWN-ISSUES regarding ECMA escape

Refactor spec_cascade and spec_head

 * StringIO is a better choice than a struct here.

Rack::Response now conforms to body.close SPEC

 * Previously 204, 205 and 304 bodies were not closed correctly.

Rack::Head now conforms to body.close SPEC

Cascade now conforms to the body.close SPEC

Clarify the body.close spec section

 * This item is frequently missed, including in core.
 * This is not a change in semantic requirement, and does not update the SPEC
   version.

fixes for 1.8

Ensure that deflater always closes bodies.

Closes #349

Rack::BodyProxy#each, fixes rack/rack#434

Prevent infinite recursions from Response#to_ary

Closes #419

Return a bad request for malformed basic auth

Closes #438

Rack::Static: Rename methods

Remove .rbenv-version from .gitignore

rescue Errno::ESRCH for windows, fixes #391

CommonLogger Documentation, fixes #412

Add redrawn logos by Zachary Scott

Date: Mon, 22 Oct 2012 10:29:22 -0400
Message-ID: <CAH6G9XNkVkUWh9JPT9HuHzJ4KmRNoPSr8ov3q0rgzH3b=u3cGw@mail.gmail.com>

On Mon, Oct 22, 2012 at 10:17 AM, Christian Neukirchen
<chneukirchen@gmail.com> wrote:
> Is it ok to put the other files as MIT license into contrib/?
> (Perhaps add a copyright message to the .svg)

Whatever you want, they're all yours.
Thanks!

Make multipart parser work when there is no Content-Length header

Closes #418

Fix docs for Rack::Static http headers

Fix docs for Rack::Static http headers

Rack::Static: Provide custom HTTP header rules as array only and more concise docs

Rack::Static: Refactor array of arrays implementation

- correct existing raise test
- amend it so rack lock releases the mutex on throws as well and raises
- added raise test

Only run header rules tests that use a hash on ruby 1.9 and above

Allow HTTP header rules to be provided in array of arrays (useful on Ruby 1.8.7)

Try to get headers working on Ruby 1.8.7

Allow Rack::Static to assign HTTP Headers based on rules

Fix script name escaping in Rack::Directory

Closes #415 and replaces it, which came with no tests and an insecure
implementation.

Deprecation notice for cache_control parameter

Adjust Documentation

Allow Rack::File and Rack::Static to serve custom HTTP Headers

Use aref instead of merge!

load session data for merge!

ID#prepare_session calls merge! on the newly-created SessionHash, but
this method is not overridden to parse existing data. As such, any
previous session data passed in from an earlier middleware is discarded.

For me, this was breaking Rack::Test while testing a Sinatra app.

Don't set blank Cache-Control header in Rack::ETag

A Cache-Control header with an empty string is meaningless (confusing,
even, to those inspecting response headers) and slightly wasteful.

Signed-off-by: Stephen Celis <stephen@stephencelis.com>

Explicitly declare Enumerator

Update Rack::Deflater specs

- Always wrap apps in Rack::Lint
- Never assume response body is an Array (!)

Conflicts:
test/spec_deflater.rb

Use const_defined? instead of defined? to check for Enumerator

Don't use Object#tap, 1.8.6 doesn't have it

Squash warnings caused by test code

Fix declaration of Enumerator for 1.8.7

Wrap test apps in Rack::Lint and fix uncovered errors (seventh pass)

Update tests for ShowExceptions, ShowStatus, Static and URLMap.

Wrap test apps in Rack::Lint and fix uncovered errors (sixth pass)

Update tests for Sendfile, Session::Cookie, Session::Memcache and Session::Pool.

Conflicts:
test/spec_session_cookie.rb

Wrap test apps in Rack::Lint and fix uncovered errors (fifth pass)

Update tests for MockRequest, MockResponse, NullLogger, Recursive and Runtime.

Wrap test apps in Rack::Lint and fix uncovered errors (fourth pass)

Update tests for Lobster, Lock, Logger and MethodOverride.

Wrap test apps in Rack::Lint and fix uncovered errors (third pass)

Update tests for Directory, ETag, File and Head.

Wrap test apps in Rack::Lint and fix uncovered errors (second pass)

Update tests for Config, ContentLength, ContentType and Deflater.

Skips Etag even if Cache-Control has a no-cache value together with other options

Rack::Static :index can handle multiple folders

* Tries to serve the defined :index in every folder
* Useful for documentation like nanoc.

Update years in license

load session data for merge!

ID#prepare_session calls merge! on the newly-created SessionHash, but
this method is not overridden to parse existing data. As such, any
previous session data passed in from an earlier middleware is discarded.

For me, this was breaking Rack::Test while testing a Sinatra app.

Use backport of URI module even on ruby 1.9.2-p320.

Added missing dependence on 'timeout' in test/spec_utils.

Fix request loop on non-stale nonce with time_limit parameter.

Set __LINE__ correctly for rackup files.

Before this change the line numbers were off by one, which broke
debugging tools like Pry in addition to causing a smidgen of user
confusion.

Reported-At: https://github.com/pry/pry/issues/571

update the dead link
remove the dead link

use internet archive for a dead link

added working link

Improve pidfile reporting and test coverage

 * Output reduced to a single line
 * Integration test added that also suppresses and checks output

Check if the PID in pidfile is still running #371

Then abort or remove the pidfile

Check that the pidfile is not already present before overriding it

Squash argument warning on 1.8

point to github page instead of rubyforge

rackup: include the value of each -I command line option in $LOAD_PATH

`rackup -h` says '-I' can be used more than once.  However, instead of adding
each value to $LOAD_PATH, rackup would discard the value of all but the last
'-I' option.

Signed-off-by: Anurag Priyam <anurag08priyam@gmail.com>

Skipping empty params inside query what lead to parsing error.

Example of these cookies would be: "foo=bar,;bar=foo" or ",foo=bar;,"

don't load broken backports on jruby, either

fix version comparison, again

fix version comparison

regexp issue has been fixed in Ruby 1.9.2-p381

Use `const_defined?` so that it only checks withing the scope of URI.

Don't load the backport for uri/common.rb when running 1.9.3-p125 and beyond

Uh. Put the conditional on the CORRECT line. :sweat:

Only remove a constant if it exists.

Add #patch to MockRequest

Backported fixes for:

  http://bugs.ruby-lang.org/issues/5925

Relevant commit:

  https://github.com/ruby/ruby/commit/edb7cdf1eabaff78dfa5ffedfbc2e91b29fa9ca1

Prevent error in Utils.parse_query/KeySpaceConstrainedParams when a key is nil

Before this when parsing a query string or a cookie string, an error were
raised because of the `key.size` in `KeySpaceConstrainedParams#[]=`.
This caused an error when params contained something parsed as a `nil` key.

Trivial readme fixes to 1.4.1 release history

Add warning to strongly recommend to people to have secrets protecting their cookies

Conflicts:

lib/rack/session/cookie.rb
test/spec_session_pool.rb

Documentation and Rakefile updates! Yay!

Conflicts:

Rakefile

Multipart percentage fail, round 3, the final character. Fixes strings terminated with %. See #323. Revisit for 1.5.

Prep for 1.4.1

Merge remote-tracking branch 'thedarkone/nested_params_key_space2'

* thedarkone/nested_params_key_space2:
  Rack::Utils#normalize_params should be ignorant of the provided params class.
  Correctly count the key space size for nested param queries.

Correct multipart parser skips for cases where we have data that looks partially like it's percent-hex encoded