Merge branch 'master' of gitorious.org:statusnet/mainline

Config flag to disable router caching if needed

use Cache::codeKey() in Router class

Make code-dependent cache entries more volatile

If a cache entry is dependent on the code that's running, upgrading
(or enabling/disabling plugins) can generate hard-to-track
inconsistencies.

This change adds a close-to-unique fingerprint of the running code to
some cache keys, so that if the fingerprint changes, the old values
are ignored and new values are used.

If the automated uniqueness fails, an administrator can add an extra
config value, $config['site']['build'], that's thrown into the key also.

Added User::singleUserNickname() as (temporary?) fallback for single-user lookup as a workaround for site setup of 1user sites. We found that an external tool attempting to spin up StatusNet and then register the user would fail because StatusNet's router setup dies on being unable to find its single-user account, since the nickname is needed in setting up routing entries. This tweak will let it survive, using the configured setting as a fallback if it can't actually find the user account.

Flush router cache when saving Twitter admin settings: adding/removing keys can enable/disable some actions. This avoids having users' Twitter settings unreachable after adding your keys to an installation with TwitterBridge on but not pre-configured.

BitlyPlugin: fix for shortening URLs containing ampersand (&)

was using Cache::get() and ::set() wrong

a quick script to flush the router from cache if needed

use a CRC32 of the plugin names rather than actual names

Squashed commit of the following:

commit 39fdd181d95d2c39a3ea1ca330b10a99a92b961f
Author: Evan Prodromou <evan@status.net>
Date:   Mon Nov 29 10:37:49 2010 -0500

    use cache key prefix for router cache key

commit 4cb9e56941922489b83d6425c059cf770991e68f
Author: Evan Prodromou <evan@status.net>
Date:   Mon Nov 29 10:31:21 2010 -0500

    use a unique hashkey based on the software version and loaded plugins

commit 44458b48aef719543e11f83b41fded65cbcb8be9
Author: Evan Prodromou <evan@status.net>
Date:   Sat Nov 27 17:04:15 2010 -0500

    cache the NUM object

commit 809c188307a9b4ada15f3d7fa573a6034341efef
Author: Evan Prodromou <evan@status.net>
Date:   Sat Nov 27 15:44:12 2010 -0500

    accelerate routing by pivoting paths on actions

Revert "Ticket #2796: don't allow arbitrary overriding of the 'action' class and other parameters pulled from the URL mapper."

This reverts commit 4193a826d3500c1c8771e2a55ca197011fe637c8.

Update doc comment for Awesomeness plugin

Tweak regex in Awesomeness plugin

Merge commit 'refs/merge-requests/2224' of git://gitorious.org/statusnet/mainline into int

Fixes for delete_status_network.sh:
* add some sanity checking: abort on failures instead of plodding through
* add some progress / error output
* fetch the target database server name from the status_network entry and use that to target the DROP DATABASE

Note that database names and other overrides in status_network entry may still not be seen.

Added Awesomeness extension

Fix ticket #2700: some numeric IDs were misinterpreted as hex numbers instead of strings when '0x123' passed in.

Switched from is_numeric() to a custom self::is_decimal() which is more strict.
This makes our behavior match Twitter's API a bit better, so eg this:

  http://identi.ca/api/statuses/home_timeline/0x6d686b.xml

should now be equivalent to:

  http://identi.ca/api/statuses/home_timeline.xml?screen_name=0x6d686b

instead of:

  http://identi.ca/api/statuses/home_timeline.xml?user_id=7170155

Ticket #2724: gracefully handle attempts to delete or fave/unfave a remote Twitter notice if a failure occurs.

Most annoying error case being where the notice was already faved or deleted on Twitter! :)
Such errors will now just fail out and log a note to the syslog -- the rest of what we were doing will continue on unhindered, so you can still delete, favorite, etc and it just won't sync the info over in that case.

Ticket #2796: don't allow arbitrary overriding of the 'action' class and other parameters pulled from the URL mapper.

This protects against oddities such as manual invocation of the ClientError action, which can spoof error messages.

Ticket #1987: support since_id on API notice search methods.

max_id is not yet implemented, as it'll need support added to the search backends. (since_id we get 'for free' by just cropping off the list, it'll do for now)

Ticket #2441: fix deletion of avatars when a profile is deleted.

Code was doing a batch call to $avatar->delete() which fails to properly engage the file deletion code. Calling the existing profile->delete_avatars() function deletes them individually, which makes it all work nice again.

Ticket #2899: clean up inbox/outbox DM form a bit:
- "To" drop-down list now defaults to showing "Select recipient:" instead of the first person on your list, reducing liklihood of accidentally sending a message to the wrong person.
- When there are no mutual subscribers to send to, instead of an empty list the list now shows 'No mutual subscribers.'

In both cases, attempting to send when the default is selected displays an error message.
I'm not disabling form elements in part because our themes right now don't show disabled button state correctly; we might want to tighten that up a bit more once fixed.

scripts/deletegroup.php -- basic CLI script to delete a group by id or local nickname. Like deleteuser.php, this can be used in batch runs by providing the -y override.

Fix regression in PopularNoticeSection: tag parameter was broken, causing sidebar on tag pages to show untagged favorites.

Ticket 2895: exclude silenced users from popular notice lists

Prep for ticket #2895: consolidate common code from PopularNoticeList and FavoritedAction for fetching popular notice lists

Forgot to commit the JS for ModPlus. :)

visual cleanup on ModPlus remote profile info popup menu

Tweak remote profile action: hide stats from sidebar, tweak wording on remote notice

RemoteProfileAction cleanup:
- meta robots to prevent spidering
- a little notice if silenced

visual tweaks for RemoteProfileAction

RemoteProfileAction: redirect to the regular user profile page if given a local user.

Workaround for display of Twitter remote users in remoteprofile (ModPlus plugin): use 73px avatar if no 96px present

Stub RemoteprofileAction to show the standard profile header stuff for offsite users -- provides a way to get at the mod & block controls for remote users.

some User -> Profile cleanup to help in adapting the profile page action to show stuff for remote users. Subscriptions, groups, roles, etc are all on profiles now so go ahead and use em.

Stub ModPlus plugin: will hold experimental UI improvements for mod actions

clear_jabber.php script to clear confirmed jabber/xmpp addresses from one or more accounts

fix syntax error introduced in i18n tweaks: newgroup action

Revert "Missing one close-paren in newgroup.php" - incorrect fix for paren bug

This reverts commit 3afb031d9270a29db7f1ac4a964bb4b796759827.

Fix for failure edge case in TwitterBridge outgoing repeat/retweets.

When the retweet failed with a 403 error (say due to it being a private tweet, which can't be retweeted) we would end up mishandling the return value from our internal error handling.
Instead of correctly discarding the message and closing out the queue item, we ended up trying to save a bogus twitter<->local ID mapping, which threw another exception and lead the queue system to re-run it.

- Fixed the logic check and return values for the retweet case in broadcast_twitter().
- Added doc comments explaining the return values on some functions in twitter.php
- Added check on Notice_to_status::saveNew() for empty input -- throw an exception before we try to actually insert into db. :)

don't try to initialize the mapstraction canvas if it doesn't exist

Fix missing close of comment block

Add error logging for a couple send-fail cases in XMPP out

Missing one close-paren in newgroup.php

session table was missing from upgrade scripts

README bump for 0.9.6 final

Merge branch 'master' into 0.9.x

Merge remote branch 'gitorious/master'

add a hack to show ads on single-notice pages

Merge remote branch 'origin/0.9.x' into 0.9.x

Localisation updates from http://translatewiki.net

Merge branch 'master' into 0.9.x

Kill a ping queue item if we get an error on loading up the notice's poster's profile, rather than letting the item be retried over and over as if it were a transitory error.
This shouldn't generally happen as it's an indicator of database inconsistency, but it's a condition we know happens.

Fix for regression: fatal error on group page display when not logged in.
Bug was introduced with group deletion feature.

fall back to siteowner on bad nickname (Bug#2861)

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Tweak for OAuth headers not seen in $_SERVER

Merge branch '0.9.x' of git://gitorious.org/statusnet/mainline into 0.9.x

Localisation updates from http://translatewiki.net.

Merge branch 'instrument' into 0.9.x

ApiLogger plugin: dumps some information about API hits to aid in researching future HTTP-level cachability improvements.

Data are sent to the 'info' level of logging, like so:

  [lazarus.local:4812.86b23603 GET /mublog/api/statuses/friends_timeline.atom?since_id=1353]
       STATLOG action:apitimelinefriends method:GET ssl:no query:since_id cookie:no auth:yes
       ifmatch:no ifmod:no agent:Appcelerator Titanium/1.4.1 (iPhone/4.1; iPhone OS; en_US;)

Fields:
* action:  case-normalized name of the action class we're acting on
* method:  GET, POST, HEAD, etc
* ssl:     Are we on HTTPS? 'yes' or 'no'
* query:   Were we sent a query string? 'yes', 'no', or 'since_id' if the only parameter is a since_id
* cookie:  Were we sent any cookies? 'yes' or 'no'
* auth:    Were we sent an HTTP Authorization header? 'yes' or 'no'
* ifmatch: Were we sent an HTTP If-Match header for an ETag? 'yes' or 'no'
* ifmod:   Were we sent an HTTP If-Modified-Since header? 'yes' or 'no'
* agent:   User-agent string, to aid in figuring out what these things are

The most shared-cache-friendly requests will be non-SSL GET requests with no or very predictable
query parameters, no cookies, and no authorization headers. Private caching (eg within a supporting
user-agent) could still be friendly to SSL and auth'd GET requests.

We kind of expect that the most frequent hits from clients will be GETs for a few common timelines,
with auth headers, a since_id-only query, and no cookies. These should at least be amenable to
returning 304 matches for etags or last-modified headers with private caching, but it's very
possible that most clients won't actually think to save and send them. That would leave us expecting
to handle a lot of timeline since_id hits that return a valid API response with no notices.

At this point we don't expect to actually see if-match or if-modified-since a lot since most of our
API responses are marked as uncacheable; so even if we output them they're not getting sent back to
us.

Random subsampling can be enabled by setting the 'frequency' parameter smaller than 1.0:

  addPlugin('ApiLogger', array(
    'frequency' => 0.5 // Record 50% of API hits
  ));

Update translator documentation.

i18n/L10n updates and superfluous whitespace removed.

* Superfluous whitespace removed.
* i18n review (no changes needed).

* i18n/L10n fixes.
* translator documentation updated.
* superfluous whitespace removed.

* i18n/L10n fixes.
* translator documentation updated.
* superfluous whitespace removed.

Merge branch 'nofollowexternallink' into 0.9.x

Conflicts:
lib/default.php

Set cookies with "secure" flag on SSL sites. Improves security.

Fix OAuth verifier display page title and msgs for i18n

UI on profile settings page to opt out of following everyone

flag to let users opt out of following everyone

Plugin to follow all new users by default

can't subscribe to blacklisted domains/users

Blacklist plugin checks PuSH and Salmon notices

userrole.php will take a profile id for remote profiles

readme: release candidate 0.9.6

Merge commit 'refs/merge-requests/2223' of git://gitorious.org/statusnet/mainline into integration

Updated mustard description and link

Supress header, footer, sidebar on OAuth verifier pin page when in "desktop" mode

Base theme styling for oauth pin and desktop mode.

Forgot to add the OAuth verifier pin page to sensitive array

We don't need to have editapplication (only showapplication) in the
sensitive array because it doesn't expose the consumer keypair

Add OAuth token exchange endpoint to 'sensitive' array; i.e.: use SSL if
available

Add special CSS classes to OAuth authorization and pin pages when
in desktop mode

Less scary OAuth authorization messages when using anonymous consumer

max_id is inclusive

change max_id from < to <=

Localisation updates from http://translatewiki.net.

* onPluginVersion added.
* i18n fix: use _m() in plugins, don't use _()
* some translator documentation added.
* superfluous whitespace removed.

* translator documentation added.
* superfluous whitespace removed.

Additional fixes found while looking at ticket #2532: when given a screen name as API parameter for a profile, do the nickname lookup on local users only. The profile table can't guarantee unique lookups, so using names isn't currently safe there. This won't affect anything using local nicknames correctly, and may avoid some weird bugs if there were conflicts between local and remote nicknames.

Fix for ticket #2532: fixed API block create/destroy when specifying the target user/profile as a separate query parameter, such as api/blocks/create.xml?param=xxx

The router settings weren't quite right so we ended up with bogus regex values passed in as the 'id' parameter, which broke the regular fallback ordering of parameter checks.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Fix for 140-char replies being unexpectedly cropped when bridged to Twitter.

This drops the '@' -> ' @' hack for CURL meta-chars in outgoing Twitter bridge, added in commit 04b95c25 back in the day.
The Twitter bridge has since been switched from using direct CURL calls to using HTTPClient, which even with the CURL backend enabled doesn't trigger this issue, as POST parameters are formatted directly.
Prepending the space before we did the message cropping was leading to 140-char messages getting cropped unnecessarily, which was confusing:

Examples of broken messages:
http://identi.ca/notice/57172587 vs http://twitter.com/marjoleink/status/28398050691
http://identi.ca/notice/57172878 vs http://twitter.com/marjoleink/status/28398492563

Normalize HTML body ids to lowercase when the user is logged out as well.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Updated styling for OAuth authorization page's desktop mode.
TODO: move these styles into the main CSS file.

RegisterThrottlePlugin tweak for silencing checks: make sure we don't crash during registration if another profile registered from this address has been since deleted.

Followup to commit 1caa08429f591b170da210d72f3501843f2bc657

Collective guilt for registrants from the same IP address

If someone tries to register from an IP address that a silenced user
has registered from, prevent it.

When silencing someone, silence everyone else who registered from the
same IP address.