Author: Henrik Nordstrom <henrik@henriknordstrom.net>
http_port allow-direct option to allow direct forwarding in accelerator mode

normally direct forwarding is disabled in accelerator mode unless overridden
by always_direct, to avoid unintentional security loops. But there is setups
where it makes sense to not have this restriction as this has effects on
peer selection as well.

Author: Adrian Chadd <adrian@squid-cache.org>
Add a simple script to summarise traffic use per user.

And, summarise the user list accessing the proxy.

Allows the user to override the aggregation term.
By default its "username" but there are other options (eg try
"clientip").

Author: Adrian Chadd <adrian@squid-cache.org>
This is a simple Perl library which facilitates parsing access logfile entries.

Author: Markus Moeller <huaraz@moeller.plus.com>
Bug 2710: squid_kerb_auth non-terminated string

Bug 2695: Regression in wccp L2 mask assignment

correct endianism of value stored in mask.
Revert value to 2 and field type to uint16_t as prior to bug 2404 update.

Bug 2707: Regression in FTP anonymous auth

A small regression was marking anonymous Auth as a no-login case and
returning 401 unauthorized.

Limit X-Forwarded-For growth.

X-Forwarded-For growth leads to String size limit assertions and probably
other problems.

We now replace huge XFF values with a string "error", warn the admin the
first 100 times, and hope that something will stop the loop (if it is a
loop). TODO: we should probably deny requests with huge XFF.

To make growth-associated problems visible during forwarding loops, the
loop breaking code must be disabled (no Via) or not applicable (direct
forwarding) and request_header_max_size has to be raised or disabled.
The X-Forwarded-For header value may also grow too large for reasons
unrelated to forwarding loops.

This change also prevents most cases of pointless computation of the
original X-Forwarded-For value list. That computation can be quite
expensive.

dist cachemgr.cgi.8.in for build

Add missing Substitute.am

Revert build test alteration, slipped in again:(

Shuffle cachemgr.cgi.8 into tools/ with cachemgr.cgi code

To perform this shuffle the SUBSTITUTE make code pushed into a sub-include
at doc/manuals/Substitute.am for shared use.

Also clean up the manual titles to reflect the binary they apply to
rather than the generic Squid project release name.

The use of generic @SYSCONFDIR@ and specific filenames allows the
translation strings to be more specific, readable for translators and
reduces Makefile complexity at once. squid.conf etc are widely mentioned
and used enough that allowing for alternative names at this point seems
meaningless.

Author: Luigi Gangitano <luigi@debian.org>
squidclient man(1) page

A little out of date now, but its a start and better than nothing.

Correct TestBed make checks.

distcheck drops any custom configure options. We can't use it
outside the 00-default test.

We can keep check, and should add any others that may be useful if
they can be identified and shown not to re-run configure.

Also move some old distclean hacks that may be obsolete now out of
the way to a rare occurance when thay might still be relevant.

Distribute TRANSLATORS properly.

Also remove '/' from scan paths and add information
about which files are being found for install/uninstall

Typo in configure

Kick translation again.

install does not NEED to be translating, and it seems to cause an issue
that did not show up my local testing.

Makefile proved useless to langpack.

Add localhost to default permitted networks

This was an oversight and should have been added with the RFC1918 space.

Bug 2706: pt 1: don't assert on cosmetic Date: addition for bad timestamps

Seems not all StoreEntry are being created with timestamps. This handles
them cleanly with a log WARNING when such are sighted instead of asserting

Silence unwanted LS warnings

Correct logging for pinned connections.

Also some extra debug when one fails to be valid for some reason.

Add --disable-translation to break .po from error negotiation

This enables build-time translation to be disabled without also disabling
run-time error page negotiation. They should not have been linked tightly.

Prevent dead language aliases being created

Fix error pages not installed.

Attempts to translate, and installs the error pages content if present.
Both srcdir and builddir are scanned used since the file location varies
depending on whether a source bundle or VCS is used to install.

Truncate too-long HTTP response bodies to match their Content-Length header.

Sometimes a broken server sends more than Content-Length bytes in the
response.  For example, a 302 redirect message with "Content-Length: 0" header
may include an HTML body. Squid used to send "everything" it read to the
client, even if it read more than the Content-Length bytes. That may have
helped in some cases, but we should be more conservative when dealing
with broken servers to combat message smuggling attacks and other bad
side-effects for clients.

We now do not forward more than the advertised content length and declare the
connection with a broken server non-persistent.

Chunked responses (that HTTP/1.0 Squid should not receive and that must not
have a Content-Length header) are not truncated because RFC 2616 says we
MUST ignore their Content-Length header.

TODO: Do not cache the truncated entry and purge the cached version, if any.

Break forwarding loops for "transparent" or "intercept" http_ports.

Squid detected forwarding loops in most configurations, but broke
them (using a customizable HTTP_FORBIDDEN response) only when working as
an accelerator. Squid now breaks loops when working as a transparent
proxy as well.

A persistent loop is going to be broken anyway, when the Via and
X-Forwarded-For headers exceed header size limit, but that wastes a lot of
resources and may also crash misconfigured Squids.

TODO: Consider breaking all loops, regardless of the http_port options.

TODO: Consider adding a specific and/or configurable error page for this case
instead of using hard-coded ACCESS_DENIED.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Bug 2695: String length overflows on append, leading to segfaults

Long-term patch for 3.0. This softens the error, but does not
resolve the issue completely for ESI.

Short-term patch for 3.1. The limit is arbitrary and may be fixed
at some point by a better patch. This one will work however.

TestBed: Polish the tests slightly and enable per-run level of tests

This finished the planned testbed features. Each level of test can now
be run on any combination of make targets specific to that test.

Remove the make all output used by obsolete testbed algorithms.

Language Updates: Country-specific Arabic

Thanks to Alaa of the Translation Toolkit Project

Author: Vincent Régnard + Peter Pramberger + Amos Jeffries
Bug 2699: Build failure NTLM smb_lm helper

Multiple definition of uint16 in included headers.
Make the typedef in .c and as portable as possible.

Bug 2127: delay pools class 4 crashes with ntlm auth

pt 2: prevent NTLM handshake requests from being delayed prior to the
authentication credentials being confirmed.

Also adds a few more descriptive asserts to catch this bug if still live.

Bug 1338: File prefetches aborted despite range_offset

Author: Don Hopkins <dhopkins@DonHopkins.com>
Bug 1087: ESI processor not quoting attributes correctly.

Use HTML 4.01 specified double-quotes instead of HTML 1.0 single quotes
and HTML-encode any double-quotes contained within the attribute data.

Delay pools 64-bit buckets and IPv6-polish

This patch adds some polish and minor unfinished business in IPv6
support vs delay pools.

Also updates the bucket size to 64-bytes to allow for >4MB traffic caps.

TODO: Bump up the refresh size for >4MB/sec flows and check that nothing
      gets broken by it.

Bug 422: RFC 2616 Date header requirements

The Date: header appears to already be implemented on all generated
pages and ICAP processed pages.
This tests and enforces Date: on all other outgoing replies as required.

I'm not certain this is the right place, it appears to be post-caching.
The RFC indicates the Date: should be enforced pre-caching. But was
unable to find a place of input cloning/processing after initial parse.
The storeEntry timestamp is used to estimate correct receiving date.

Simpler test for PURGE method

Uses a tri-state setting on enable_purge and acl parsing to
detect PURGE method addition/removal instead of a complicated ACL
creation test post-configure.

This removes the annoying false errors about temp ACL and some minor
speed up in all actions that parse squid.conf.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bug 2092: Changed select loop call counter to 64-bit

... unsigned long int so that it won't wrap around so easily.

Author: Philip Allison <philip.allison@smoothwall.net>
Bug 2614 fix: Potential loss of adapted body data from eCAP adapters

It was possible for Squid to stop reading buffered adapted body data before it
has all been sent to the browser.

Squid treated a call to noteAbContentDone by an adapter as a signal to stop
consuming and sending adapted body data. The correct behaviour is to use
noteAbContentDone to record the fact that the adapter has stopped producing
new adapted body data, but continue to consume and send data until all
buffered ab content is consumed and sent (i.e., abContent returns an empty
Area).

Links to relevant discussions:

https://answers.launchpad.net/ecap/+question/63068
https://answers.launchpad.net/ecap/+question/63147

Language Updates: Add aliases from live traffic info

Taking a scan of the last 98 days traffic and locating the country-code
Accept-Language headers used in that traffic to refer to the existing
languages gives a subset we can alias to further improve the coverage.

Prevent getservbyname() being called with a numeric value on Windows.

The function getservebyname() returns garbage values when called with
a numeric port "name" for Windows people.

Prep for 3.1.0.9

Bug 2674: Remove limit on HTTP headers read.

Headers may be accumulated over more than one read. It does not make
sense to limit the internal copy of the accumulated read buffer to 64KB.

Reverts the internal read buffer to MemBuf defaults. This may cause
issues where headers are of unbounded size. But those are expected to be
caught by the header parser.

tar-ustar requires automake 1.9 or later. Drop earlier versions from selection, and add 1.11

Add ftp_epsv control to disable EPSV support.

Some firewalls are known to be severely broken with EPSV requests.
This enables Admin to turn it off if they need to.

Add omitted Makefile.am

Prep for 3.0.STABLE16

Make a proper manuals directory for translation

Language Update: Alias links now handle en-*

Make gcc 4.4 happy with 3.1 libraries

 - Fixes libecap build fubar
 - Fixes libbase circular dependencies for ufsdump

Fix alias linker dist/install

make requires ';' after a SHELL command apparently.

Make alias-link.sh handle case where the DESTDIR is non-existent.
This occurs on some distro packaging systems (ie using langpack as a
separate package may not install errors).

Correct ICMPv6 socket text

Correct Licensing Credits

Several of the licenses mentioned in the CREDITS file are not relevant
to Squid-3.1 code any more. Several license disclaimers were found to be
missing.

Thanks to the Debian Project for identifying these incorrect entries.

dist errorpage.css properly again

Language alias linker/installer/upgrade scripts

alias-link.sh
  This is a script set designed to be called via make/Makefile and setup
  language codes for those languages which it would be impractical to
  bundle duplicate translated files for.
  Relies on local environment tools to be detected by automake.

make install
  - now also calls generation of aliases after existing install.
    Provided in file aliases.

make upgrade
  - cleans out legacy files from pre-3.1 and replaces with symlinks
    to the new upgraded language codes.
    Provided in file alias-upgrade.
  NP: this is a destructive process and must be manually run.

Bundle aliasing scripts and Makefile to use them with the langpack.

Add Treehouse to SPONSORS

Remove last remains of dead options

SourceFormat enforcement

Bug 2679: strsep and strtoll should be bundled

Incorrect autoconf macro to test for these was leading to a large hack.
Using the right macro fixes this issue and links as needed.

Shuffle update-pot.sh to scripts/

Author: Various Translators
Initial Arabic Man page translations

Author: fancyrabbit <fancyrabbit@gmail.com>
Bug 2672: cacheMemMaxSize 32-bit overflow during snmpwalk

snint is 32-bits. Unwrapped the code casts int64 to int32 before
reducing the base unit size to MB.

Update .pot and rename errpages.pot

The old name dictionary.pot was picked semi-randomly based on my old
experience in other translation arenas. It does not fit with the l18n
requirements of Squid very well. This renaming adjusts to make things
a bit clearer.

Automate list of available translations

Automate list of available translations

Merged from trunk

Remove obsolete Dual-Language error page hack

Author: Various Translators
Language: Slovak

This concludes the deprecated language conversions.
Makefile adjusted to remove obsolete operations.

Author: Various Translators
Language: Slovak

This concludes the deprecated language conversions.
Makefile adjusted to remove obsolete operations.

Author: Various Translators
Language: Portuguese

Formatting

Author: Various Translators
Language: Portuguese

Make distuninstallcheck work when $(RM) contains spaces (e.g., rm -f).

We must quote $(RM) value when passing it to scripts/remove-cfg.sh
The bug was detected by running test-builds.sh.

Author: Various Translators
Language: Polish

Language: Polish

Prevent "make check" failure on warn_unused_result warning for fwrite(3) call.

Bug 2395: FTP auth errors not displayed

Round 2 for this bug. Now we handle missing auth as an expected result
rather than a failure. FTP operations are now well tested and this patch
does not affect code shared with other components.

Side-effect is that browser authentication popups now appear when the
FTP server needs authentication. This has been a long missed event.

The root cause of the issue is not found so other subsequent errors in
FTP sub-protocol still silently lost due to the same issue.

Author: Various Translators
Language: Thai

Merge from trunk

Author: Various Translators
Language: Thai

Add .POT file for manual pages

Windows port: Bit types protection must applied always

Language: Lithuanian

Language: Lithuanian

Language: Hungarian

Language: Hungarian

Add RTL for Hebrew

Language: Hebrew

Language: Hebrew

Install Kerberos helper in libexec not sbin

Language Updates: Sync ru.po with Rosetta

Language: Malay

Language: Malay

Updates auto-save

Merged from trunk

Release Notes: tcpkeepalive very much present

Detect IPv6 stack a little better.

Will now detect whether v4-mapping works and enable split-stack if not.
Moves these tests a similar below the header detection so they will work.

Release notes on tag ACL

Make debug_options rotate=N option back-compatible.

This ties older config which do not set rotate=N to still use the value
of logfile_rotate. If set rotate=N overrides logfile_rotate and can be
any value 0 or up.

Language Updates: Korean, Chinese (Taiwan)

Merged from trunk

Language Updates: Korean