Correct quoted-string parser. Got differently broken in digest parser fix.

Improve coding style of digest parser somewhat so it's easier to follow

SourceFormat Enforcement

Fix stale=true on digest requests with unknown nonce

The nonce staleness check only worked if the stale nonce had not yet
been garbage collected, often resulting in incorrect stale=false
responses and resulting auth popups when using digest auth.

Note: this fix is different from how it's done in squid-2 where fixHeader
is called on all schemes in such conditions but only the active one with
and auth_user_request. Not entirely sure why that is done, but commit
message says something about Negotiate authentication.

Rework the http digest auth parser

- Validate sanity of digest messages
- Properly parse quoted strings

Correct attribute numbers, and adjust some debug levels

Wrap ignore_expect_100 action properly

Raised the debug-level of one cache manager related message

Raised some noncritical debug messages' debug-level.

Send HTTP1.1 compliant 417 responses

Port of the 417 response handling and associated ignore_expect_100
from Squid 2.7.

Rationalize the default httpd_accel_surrogate_id

Prevents more posibilities for data leakage by making the default
surrogate ID based on visible_hostname (public FQDN for the proxy).

Now that Surrogate_Capability: header is sent by default in accelerator
environments it makes more sense to default it to a value fairly unique
or at least restricted to that local administrative domain.

When visible_hostname is setup correctly (either automatic or manual)
each stand-alone squid install should have a unique ID. Groups of proxies
sharing work for a domain should also be by default sharing an ID and
thus sharing the override behavior.

When visible_hostname is unavailable it will retain the old default of
'unset-id'.

Author: Henrik Nordstrom <hno@squid-cache.org>
Swallow 1xx status messages

Ported from 2.7. This makes Squid swallow 1xx replies from 1.1 servers
safely without breaking the clients connection.

Correct missing  cnonce debug message

Full Surrogate/1.0 support

This enables the Surrogate-Control header fields for HTTP reverse proxies
in general. Not only those with ESI capability.

Limited to use by reverse-proxies only, and some added security to strip
Surrogate headers better at the border.

Carefully verify digest responses

And it even compiles..

Parser starting to take shape

Merged with trunk

Starting to rework digest attribute parser

SourceFormat Enforcement

Use POSIX ipv6 constants & macros

Migrate various IpAddress internal constants to private static members

Correct IPv4-mapped prefix, broken in rev 10247 Use POSIX tests for IPv6 address detections.

Correct IPv4-mapped prefix, broken in rev 10247 Use POSIX tests for IPv6 address detections.

SourceFormat Enforcement

Associate external acl message with the request

this change associates external acl message with the request just as
is done with the log message, tags etc. Was in a global variable.

The old global variable is still there as a fallback, but can probably
be removed.

Author: Steve Snyder <swsnyder@snydernet.net>
Bug 2869: Remove unused external reference

Author: Adam Ciarcinski
Bug 2866: Support OpenSSL 1.0

Port of patches provided by Adam Ciarcinski to fix build issues with
recent versions of OpenSSL in Apache on NetBSD.

SourceFormat Enforcement

Author: Diego Woitasen <diegows@xtech.com.ar>
Bug 2507: squid_ldap_group: Strip Domain name separated by +

Typo in release notes

Bug 2787: unknown/unexpected status code messages

Bug #2818: Random unix_group crash at startup due to uninitialized pointer reference

The group array was not properly initialized.

This patch also removes the limitation of 10 groups.

Prep for 3.1.0.17

Correct FAQ link

Correct macro wrappers for UDP logger

Bug 2616: reduce IdleConnList::removeFD messages

Typo in revno10283

Author: Joao Alves Neto <alves_joao@hotmail.com>
NTLMv2 support for fake NTLM helper.

SourceFormat Enforcement

Require URI field

Author: Serassio Guido <serassio@squid-cache.org>
Windows port: Update mswin_check_ad_group to version 2.0

The global groups support was rewritten, now is based on ADSI.
New Features:
 - support for Domain Local, Domain Global ad Universal groups
 - full group nesting support

This helper, like the previous version, can be compiled only using
Microsoft Visual Studio because some needed library are not available
on MSYS+MinGW or Cygwin.

Undo unintended digest change in 10279 (will come back later in another change)

helper protocol concurrency=0 is the old protocol, not =1

part 2, auth helper settings defaults

helper protocol concurrency=0 is the old protocol, not =1

concurrency=1 actaully means new protocol with a single channel...
not what the old helpers expect..

Language: Afrikaans

Prep for 3.0.STABLE24

Manuals: some polish and updates

Author: Various Translators
Language Updates: Error templates general update.

Updated translation files

Merge from trunk

move squid.8.in

Typo in rev10272

Bring bug 2858 fix inline with other TCP handling code.

Author: Kieran Whitbread <k.j.whitbread@qmul.ac.uk>
Bug 2858: Segment violation in HTCP

Remove tidyHtml from the template generation tools.

While nice, It introduces several problems:

 * any syntax errors at all in the translation text causes a blank
   translated text file to be produced. Without any error code.

 * automatically downgrades the HTML content-type meta to "us-ascii"
   despite the input and output both actually being UTF-8

 * added dependency for building.

It's used automatically by the translate toolkit from 1.5.0 so
needs to be expicitly disabled when present.

Author: Markus Moeller <huaraz@moeller.plus.com>
squid_kerb_auth logging clarification

add ERROR, WARNING, etc to the logging messages.

Add adapted_http_access option. Port of http_access2 from Squid-2

Author: Henrik Nordstrom <hno@squid-cache.org>
Clean up use of httpReplySetHeaders to be consistent across the code, and
remove the unneeded http_version argument.

Ported from 2.7

Typo in multicastsiblings parse

Author: Jean-Gabriel Dick <jean-gabriel.dick@curie.fr>
Bug 1843: multicast-siblings cache_peer option for optimising multicast ICP relations

'multicast-siblings' : this option is meant to be used only for cache peers of
type "multicast". It instructs Squid that ALL members of this multicast group
have "sibling" relationship with it, not "parent".  This is an optimization
that avoids useless multicast queries to a multicast group when the requested
object would be fetched only from a "parent" cache, anyway.  It's useful, e.g.,
when configuring a pool of redundant Squid proxies, being members of the same
multicast group.

Removed unused callWhenReady() API. Only ICAP services need it, for now.

Correct HTML syntax in ca.po strings

Author: James Brotchie <brotchie@gmail.com>
Port of X509 certificate alias-domain handling from 2.7.

Prep for 3.0.STABLE23

basic_smb_auth is C++, adjust make flags accordingly. Also clean up string types a bit to make g++ happier

Prep for 3.1.0.16

Prep for 3.0.STABLE22

Author: Marko <mr_4u2@yahoo.com>
Bug 2496: Downloading some variants in full before relaying

AKA, assertion failed: comm.cc:115: "ccb->active == false"
if the client disconnected before download finished arriving.

Author: Graham Keeling <graham@equiinet.com>
WCCPv1 not connecting to router correctly

I am coming across a problem with WCCPv1...

squid-2.5 connects to UDP port 2048, I get replies, and everything else then works.

squid-3.1 looks like it is trying to connect to UDP port 0 on the cisco.
[and fails to work]

I have looked at the src/wccp.c for squid-2.5, and it is clear that the port is
being set to 2048 for the connection to the router.
I have also looked at the source for 2.6, 2.7 and 3.0 (src/wccp.cc for this
version).
In all those, it appears to be setting the port on the outgoing connection.

However, in the 3.1 source, it doesn't.

Polished %>ha description.

Releas notes for %ha option

Author: Frank Schmirler <squid@schmirler.de>
Bug 2851: Connection pinning fails when using a peer

Change the "virgin" term to "original".

virgin has a sexual connotation in some cultures, and can be confusing
in a way that is avoidable.

SourceFormat Enforcement

Add the http::>ha format code and make http::>h log virgin request headers

This patch:
 - Modify the existin "http::>h format code to log HTTP request headers
   before any adaptation and redirection
 - Add the new format code "http::>ha" which allow the user to log HTTP
   request header or header fields after adaptation and redirection.

This is a Measurement Factory project.

Display cache_peer name option in CacheMgr config

SourceFormat Enforcement

Author: Michael van Elst
Use POSIX tests for IPv6 address detections.

Afrikaans has a moderator

SourceFormat Enforcement

Bug 2553: X-Forwarded-For with IPv6 address not handled correctly

Also, remove the port from consideration. It is meaningless on indirect
client address.

Fix build errors when XFF compounds with other features

Some squid.conf options require XFF and other component wrappers to build
properly.

This fixes ICAP and Delay Pools clash which appeared in testing. Other
multiple-component wrapping can be done in identical fashion

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2731: Add follow_x_forwarded_for support to ICAP

Pass the indirect client address to the ICAP server using X-Client-IP.

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2730: Regressions in follow_x_forwarded_for since Squid-2

Two Major Regressions:

* Omitted testing for trust of the directly connecting client.
  this is critical is trusting the header content itself.
  The absence permitted remote clients to forge X-Forwarded-For
  and gain access to resources through Squid.
  (mitigated by the following)

* Bad logic in implementing the trust model resulted in any XFF
  headers containing untrusted IPs to be dropped in their entirety.
  This resulted in clients transiting more than one proxy heirarchy to
  be incorrectly logged and reported in the second.

Some polish alterations to the existing logics:

* Testing the direct client address for trust means the testing must be
  fully async 'slow'. Thus avoiding the memory leaks found on occasion.

* acl_uses_indirect_client is not strictly needed to test multiple levels
  of X-Forwarded-For properly. The entire list of IPs are now always
  tested until on untrusted is found or an ACL failure occurs.

More portable rfc1035 unit test

Add warnings explaining Invalid Response errors generated by Squid

Bump AIO debug sync message down a level

Typo in configure EUI description

Author: Various Translators
ErrPage Updates: Romanian and some Turkish

Updates: Romanian

Updates: Romanian

Romanian taken by Arthur Titeica

ro_MD

Limit language negotiation to bundled error pages

Manuals Updated: Russian

Language Updated: Turkish

Update manuals

Handle DNS header-only packets as invalid.

Bug 2811: SNMP client table renumbering

Bump the client table to version 2 for new IP address formatting.

* Also polishes the OID debug display a little bit.