symfony developersにis_secure、credentialsのバグが報告されており、最新版のtrunkで修正されています。
結構痛い不具合なので、security.ymlでis_secureを利用している方は確認したほうがよいです。
そして、fixされたバージョンがsymfony1.0.1としてリリースされるようです。
http://groups.google.co.jp/group/symfony-devs/browse_thread/thread/c245a6749858d765/

今回のバグ修正に関するリビジョン
http://www.symfony-project.com/trac/changeset/3625

具体的な問題点を簡単に書くと
security.ymlで

create:
  is_secure:   on
  credentials: admin 

と書いていれば、

http://host/module/create

と直接アクセスしてもログインし、adminのロールがないと処理されないのですが、

http://host/module/Create

のようにアクション名の最初を大文字にすると認証をすり抜けてしまいます。
試してみましたが確かにスルーしますね。。