Merge branch '0.9.x' into twitstream

Merge remote branch 'origin/0.9.x' into 0.9.x

Localisation updates from http://translatewiki.net

Merge branch 'master' into 0.9.x

Kill a ping queue item if we get an error on loading up the notice's poster's profile, rather than letting the item be retried over and over as if it were a transitory error.
This shouldn't generally happen as it's an indicator of database inconsistency, but it's a condition we know happens.

Fix for regression: fatal error on group page display when not logged in.
Bug was introduced with group deletion feature.

fall back to siteowner on bad nickname (Bug#2861)

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Tweak for OAuth headers not seen in $_SERVER

Merge branch '0.9.x' of git://gitorious.org/statusnet/mainline into 0.9.x

Localisation updates from http://translatewiki.net.

Merge branch 'instrument' into 0.9.x

ApiLogger plugin: dumps some information about API hits to aid in researching future HTTP-level cachability improvements.

Data are sent to the 'info' level of logging, like so:

  [lazarus.local:4812.86b23603 GET /mublog/api/statuses/friends_timeline.atom?since_id=1353]
       STATLOG action:apitimelinefriends method:GET ssl:no query:since_id cookie:no auth:yes
       ifmatch:no ifmod:no agent:Appcelerator Titanium/1.4.1 (iPhone/4.1; iPhone OS; en_US;)

Fields:
* action:  case-normalized name of the action class we're acting on
* method:  GET, POST, HEAD, etc
* ssl:     Are we on HTTPS? 'yes' or 'no'
* query:   Were we sent a query string? 'yes', 'no', or 'since_id' if the only parameter is a since_id
* cookie:  Were we sent any cookies? 'yes' or 'no'
* auth:    Were we sent an HTTP Authorization header? 'yes' or 'no'
* ifmatch: Were we sent an HTTP If-Match header for an ETag? 'yes' or 'no'
* ifmod:   Were we sent an HTTP If-Modified-Since header? 'yes' or 'no'
* agent:   User-agent string, to aid in figuring out what these things are

The most shared-cache-friendly requests will be non-SSL GET requests with no or very predictable
query parameters, no cookies, and no authorization headers. Private caching (eg within a supporting
user-agent) could still be friendly to SSL and auth'd GET requests.

We kind of expect that the most frequent hits from clients will be GETs for a few common timelines,
with auth headers, a since_id-only query, and no cookies. These should at least be amenable to
returning 304 matches for etags or last-modified headers with private caching, but it's very
possible that most clients won't actually think to save and send them. That would leave us expecting
to handle a lot of timeline since_id hits that return a valid API response with no notices.

At this point we don't expect to actually see if-match or if-modified-since a lot since most of our
API responses are marked as uncacheable; so even if we output them they're not getting sent back to
us.

Random subsampling can be enabled by setting the 'frequency' parameter smaller than 1.0:

  addPlugin('ApiLogger', array(
    'frequency' => 0.5 // Record 50% of API hits
  ));

Update translator documentation.

i18n/L10n updates and superfluous whitespace removed.

* Superfluous whitespace removed.
* i18n review (no changes needed).

* i18n/L10n fixes.
* translator documentation updated.
* superfluous whitespace removed.

* i18n/L10n fixes.
* translator documentation updated.
* superfluous whitespace removed.

Merge branch 'nofollowexternallink' into 0.9.x

Conflicts:
lib/default.php

Merge branch '0.9.x' into twitstream

Set cookies with "secure" flag on SSL sites. Improves security.

Fix OAuth verifier display page title and msgs for i18n

UI on profile settings page to opt out of following everyone

flag to let users opt out of following everyone

Plugin to follow all new users by default

can't subscribe to blacklisted domains/users

Blacklist plugin checks PuSH and Salmon notices

userrole.php will take a profile id for remote profiles

readme: release candidate 0.9.6

Merge commit 'refs/merge-requests/2223' of git://gitorious.org/statusnet/mainline into integration

Updated mustard description and link

Supress header, footer, sidebar on OAuth verifier pin page when in "desktop" mode

Base theme styling for oauth pin and desktop mode.

Forgot to add the OAuth verifier pin page to sensitive array

We don't need to have editapplication (only showapplication) in the
sensitive array because it doesn't expose the consumer keypair

Add OAuth token exchange endpoint to 'sensitive' array; i.e.: use SSL if
available

Add special CSS classes to OAuth authorization and pin pages when
in desktop mode

Less scary OAuth authorization messages when using anonymous consumer

max_id is inclusive

change max_id from < to <=

Localisation updates from http://translatewiki.net.

* onPluginVersion added.
* i18n fix: use _m() in plugins, don't use _()
* some translator documentation added.
* superfluous whitespace removed.

* translator documentation added.
* superfluous whitespace removed.

Additional fixes found while looking at ticket #2532: when given a screen name as API parameter for a profile, do the nickname lookup on local users only. The profile table can't guarantee unique lookups, so using names isn't currently safe there. This won't affect anything using local nicknames correctly, and may avoid some weird bugs if there were conflicts between local and remote nicknames.

Fix for ticket #2532: fixed API block create/destroy when specifying the target user/profile as a separate query parameter, such as api/blocks/create.xml?param=xxx

The router settings weren't quite right so we ended up with bogus regex values passed in as the 'id' parameter, which broke the regular fallback ordering of parameter checks.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Fix for 140-char replies being unexpectedly cropped when bridged to Twitter.

This drops the '@' -> ' @' hack for CURL meta-chars in outgoing Twitter bridge, added in commit 04b95c25 back in the day.
The Twitter bridge has since been switched from using direct CURL calls to using HTTPClient, which even with the CURL backend enabled doesn't trigger this issue, as POST parameters are formatted directly.
Prepending the space before we did the message cropping was leading to 140-char messages getting cropped unnecessarily, which was confusing:

Examples of broken messages:
http://identi.ca/notice/57172587 vs http://twitter.com/marjoleink/status/28398050691
http://identi.ca/notice/57172878 vs http://twitter.com/marjoleink/status/28398492563

Normalize HTML body ids to lowercase when the user is logged out as well.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Updated styling for OAuth authorization page's desktop mode.
TODO: move these styles into the main CSS file.

RegisterThrottlePlugin tweak for silencing checks: make sure we don't crash during registration if another profile registered from this address has been since deleted.

Followup to commit 1caa08429f591b170da210d72f3501843f2bc657

Collective guilt for registrants from the same IP address

If someone tries to register from an IP address that a silenced user
has registered from, prevent it.

When silencing someone, silence everyone else who registered from the
same IP address.

New events when granting and revoking roles

Four new events for when roles are granted or revoked.

Merge branch 'bettercachelog' into 0.9.x

Merge remote branch 'gitorious/0.9.x' into 0.9.x

more detailed information in cachelogplugin

Workaround for http_build_query() oddities in low-level router parent code when PHP config is set with non-default separator.

Pass OAuth authorize page's mode paramater to OpenID plugin so it can create a correct
returnto URL

Fix regression (whoops!)

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Re-camelcase ApiOauthAuthorizeAction so it will be accessible when
a site is in pivate mode

Fix syntax errors

OAuth - inform consumer when user refused to authorize a request token
http://status.net/open-source/issues/2848

Don't show 'anonymous' app in OAuth application list.

Fix bad reference.

OAuth - proper callback handling and better styling for authorization
page when in desktop mode

Normalize all action HTML body ids to lowercase

Change OAuth authorization page's action name to be inline with
other web page action names so the body id outputs correctly. Fix
some other bugs.

New "desktop" mode for the OAuth authorization page. If mode=deskstop
is specified in the request the page is probably meant to be displayed
in a small webview of another application, so suppress header, aside
and footer.

Memcache::set() 3rd param should be flags (4th is expire). This throws a "2 lowest bytes reserved" error in Memcache > 3.0.3

i18n/L10n consistency updates.

Merge branch '0.9.x' of git@gitorious.org:statusnet/mainline into 0.9.x

Fix syntax error

i18n/L10n updates, translator docs updated, superfluous whitespace removed.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Conflicts:
actions/apioauthauthorize.php
lib/apioauthstore.php

Use a new table (oauth_token_association) to associate authorized
request tokins with OAuth client applications and profiles.

Update translator documentation and remove superfluous whitespace.

i18n/L10n updates, translator comments added/fixed, superfluous whitespace removed.

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Wee fixin for overflowing notice content in sidebar.

Merge branch '0.9.x' into openid-oauth

Fix option settings on oauth_post_notice.php

Pretty up the OpenID variant of the OAuth login form a bit; change the 'Allow' button to 'Continue' so we're not confused why we get the form again after authenticating.

* translator documentation added.
* moved some translator comments that were not directly above the line with the message to the correct location.
* i18n for UI text.
* superfluous whitespace removed.

Initial OpenID+OAuth thingy.

Fix --oauth-token-secret on oauth_verify_creds.php

Fix for ticket #2845: singleuser nickname configuration was being overridden by site owner in router setup.

I've consolidated the checks for which user to use for single-user mode into User::singleUser(), which now uses the configured nickname by preference, falling back to the site owner if it's unset.
This is now called consistently from the places that needed to use the primary user's nickname in routing setup.

Setting $config['singleuser']['nickname'] should now work again as expected.

Localisation updates from http://translatewiki.net.

Revert DB change for OAuth. Change compound key for oauth_application_user
back to (profile_id, application_id). I think we can get away without
a DB change by only issuing one anonymous access token per user.

Consistent punctuation.

* i18n for many missing messages (???)
* add translator documentation.

Add FIXME

Localisation updates from http://translatewiki.net.

* i18n/L10n fixes.
* translator documentation updated/added.
* superfluous whitespace removed.

Merge branch '0.9.x' of git://gitorious.org/statusnet/mainline into 0.9.x

Fix nasty bug in parameter for e-mail notification for favourite.

Stick OAuth developer help info in a section

Merge branch 'anon-consumer' into 0.9.x

Add support for an anonymous OAuth consumer. Note: this requires a
small DB tweak.  Oauth_application_user needs to have the primary
compound key: (profile_id, application_id, token).

http://status.net/open-source/issues/2761

This should also make it possible to have multiple access tokens
per application.

http://status.net/open-source/issues/2788