Fix NIS helper build on FreeBSD

Fails on clang++ and other strict compilers due to missing __cplusplus
checks in FreeBSD system headers and yp_prot.h typedefs bool unless
BOOL_DEFINED is defined.

Bug 1791: timestampsSet does not validate Date: if server sends very old date

Bug 3217: "!fd_table[fd].closing()" from ServerStateData::noteMoreBodySpaceAvailable

It is possible that the next hop connection is going through the closing steps
when we receive a "noteMoreBodySpaceAvailable" notification from the response
body consumer. Do not try to read in this case.

Bug 3107: ncsa_auth DES silently truncates passwords to 8 bytes

Bug 2662: cf_gen failure when cross compiling

Adds support for "./configure HOSTCXX=foo" to specify a host compiler
to build cf_gen with. If none is specified the normal build compiler will
be used.

Migrate cf_gen tool from C-style to C++

SourceFormat Enforcement

Portability: several issues in MinGW

Kill one goto

SourceFormat Enforcement

Fix missing brackets on revnno.10347

Bug 2655: passing wrong the username to the url_rewrite_program

Debug enhancements for rewrite helper user

Bug 3131: fd_table[fd].closing() assert from ConnStateData::noteMoreBodySpaceAvailable()

Bug 3232: fails to compile with OpenSSL v1.0.0

Correct memset size when clearing wccp assign message buffer

Fix if assignment warning

Simplify SASL config.test.

If headers are there then it's reasonable to expect libs as well being
present.

Note: not all archs places libs in /lib /usr/lib and
full searching is overkill.

ev_entry is a C++ class these days, don't attempt using it as a struct

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Provide NULL when missing

Fix GCC4.6 warning unused variables

Enable negative cacheing on unknown or -1 expiry timestamp

This syncs the squid-3 code with what squid-2 does. There seem to be no
problems in squid-2, but squid-3 does not cache at times when it should
according to negative_ttl

Fix GCC 4.6 warning unused variables in test-suite

Bug 1842: Optimize order of tests in peerWouldBePinged() and peerHTTPOkay()

The peerAllowedToUse() function may be time consuming, especially on sites that
have lots of acls.

Bug 2051: 'default' cache_peer option does not match documentation

Move the default parent to second-lowest priority on the parent
selection. This also allows the other more delicate balancing
algorithms to work properly with a default configured.

sourcehash and userhash are reversed in priority to simplify and
speed the selection code.

Also, getAnyParent() is dropped. It is redundant with the FIRSTUP
 algorithm.

Bug 3114: Memory leak in SSL certificate verify code

Fix --disable-follow-x-forwarded-for and correct documentation

This feature is available by default. But protected by default "deny all"
to restrict security problems.

Bug 2495: ignore whitespace prefix on config lines

Allow whitespace indentation before any lines. Making SMP and comment
configuration easier to read for some.

Bug 3222: cache_peer name is not logging on CONNECT

Remove duplicate calls to IsAnyAddr in DNS

3.1.14

Bug 3261: Could not create a DNS socket

Reverts IP address ANYADDR changes due to regression.

Bug 2138: NTLM passthrough using accel cache_peer and ssl

This is a temporary workaround for 3.1 series. A better fix for 3.2 and
later is known but needs verifiction.

3.1.13

Prep for 3.1.13

Ip::Address::IsAnyAddr did not return true for IPv4-only anyaddr

Bug 3239: Rename myip/myport as localip/localport - Fix initial patch

A misstyped  if(strcmp ...) statemets has as result, all acl type in squid.conf
to be considered as "localip" acl type.

Update ssl_crtd to use 'OK' status inline with other helpers

Bug 3153: additional compile fixes

SourceFormat Enforcement

3.1.12.3

Prep for 3.1.12.3

Fix squidclient -V option and allow non-HTTP protocols to be tested

The "-" case is for old style HTTP (called 0.9) where there is no version
string. The "-V 0.9" is for testing servers with broken version number
tag "HTTP/0.9". Do not mix these up!

This also adds the ability to send non-HTTP version tags for testing.
 ie "-V ICAP/1.0" or "-V ICY/1.0"

Fix segfault in parse_eol()

Fixed bypass of SSL certificate validation errors.

The bypass code was calling ACLChecklist::fastCheck() multiple times
if multiple certificate errors were found. That method should not be
called multiple times because it changes the internal ACLChecklist
state, producing wrong answers for repeated calls.

This patch fixes the ACLChecklist::fastCheck() method so it can be called
multiple times. Each fastCheck() call results in an independent access
list check.

This is a Measurement Factory project

Bug 3153: Prevent ICAP RESPMOD transactions getting stuck with the adapted body.

Part 1.

  Server is expected to receive adapted response headers and then consume the
  adapted response body, if any. If the server receives the headers and then
  aborts, it must notify the ICAP side that nobody will consume the body.
  Otherwise, the ICAP transaction will fill the BodyPipe buffer and get stuck
  waiting for the consumer to free some space.

Part 2:

  This fix still leaves one potential race condition unhandled: The ICAP
  Initiatee disappears right after sending the adapted headers to the Server
  (because there is nothing else for that initiatee to do). After the
  noteAdaptationAnswer() call is scheduled by ICAP and before it is received by
  the Server job, there is no usable link between Server and ICAP.  There is no
  way for the Server to notify the ICAP transaction that the Server job is
  aborting during that time (and there is no Server job at all after it aborts,
  naturally).

  The solutions is to develop a custom AsyncCall which will call the
  expectNoConsumption() on the message pipe if the call cannot be dialed (i.e.,
  the message cannot be delivered to Server).

Display critical WARNING: about myip/myport on interception proxies.

Advertise myportname for use instead.

Fix RADIUS helper resource leak

cppcheck detected the config file was never closed/released. This could
prevent the helper shutting down cleanly.

Fix segfault parsing digest auth realm

Also enact a TODO about Digest::Config constructor.

Port 2.7: Add debug to url rewriter, allowing to print the full command line sent to the helper

Polish: display easily grepped config lines on -k parse

Bug 3214: "helperHandleRead: unexpected read from ssl_crtd" errors.

Squid would read the beginning of a crtd response split across multiple
read operations and treat it as a complete response, causing various
certificate-related errors.

This patch:
 - allow the use of other than the '\n' character as the end of message mark
   for helper responses.
 - Use the '\1' char as end-of-message char for crtd helper. This char looks
   safe because the crtd messages are clear text only messages.

paste error

Bug 3236: Port of %oa, %<lp and %<la log format options

Christos Tsantilas:
 Add logging of the local TCP port used by transactions with http servers

  The new log format code is "%<lp"

  In the case there are several server-side connections logs the port of
  the last connection.

  This is a Measurement Factory project.

Amos Jeffries:
 Port 2.7: logformat tag for logging the outgoing IP address (tcp_outgoing_address)

  This adds the log format to log the local IP address used on outgoing
  connections to peers and servers. Squid-2.7 called this %oa.

  However it is a perfectly matching part of the existing set of %la and
  %lp (local inbound) and %<lp (local outbound port).

  As such, the %oa is accepted as input for backward compatibility, but the
  Squid-3 version is: %<la

  This is based only very loosely on the Squid-2 %oa work by Andrew Atangulov

3.1.12.2

Fix orphan #endif

clientside_tos is a 3.2 feature

Prep for 3.1.12.2

Bug 3226: Tags from external ACLs do not correctly expire

Portability Fix: always-true comparison in ICAP for some 32-bit platforms

Bug 3178: gcc-4.6 complains unused variables

Bug 2965: partial: Compile errors on MinGW

Add CSS id tag to BODY of error pages.

Use the page code name as the ID value for unique page-wide CSS.

Blanket alterations the tag name (BODY) should be used by CSS instead.

Bug 3122: Unknown record type in WCCPv2 Packet (6)

Docs: display WARNING and ERROR when max_filedescriptors has failed.

The big cases of missing OS dependencies and use of select() are mentioned
on configure parse where relevant. As well as from setMaxFD().

Failures to make the change are already logged, but now highlighted as
ERROR cases.

URL re-writer handling bug fixes

This patch includes two bug fixes in URL handling which were uncovered
during testing of the URL logging update:

* URL re-write handling was not correctly creating its adapted request
copy. The code here is much reduced by using the clone() method. Still
not completely satisfactory (marked with XXX) since on invalid URL
there is a wasted cycles cloning and deleting almost immediately.
Future cleanups moving the URL parts outside HttpRequest will fix that.

* URL parsing needs to set the canonical field to unset whenever the URI
is re-parsed into a request. This field is an optimization for later
display speed-ups. This has been causing incorrect canonical URL to be
used following re-write. When the cloning above was corrected it caused
asserts in the server-side.

* To prevent memory leaks the urnParse() function internal to URL parsing
is adjusted to accept and update an existing request in identical API
semantics to urlParse() instead of always generating a new one.

CacheMgr: Fix cache_peer options userhash/sourcehash display mixup

Support for slow ssl_bump ACLs

Allow slow ACLs with ssl_bump option in squid.conf to enable destination
domain (and possibly other) slow ACL checks.

This is a Measurement Factory project.

Compile fixes for binutils-gold and gcc-4.6 support

These two tools are much stricter about dependency linkages.
 * Drop testAuth due to major dependency loops they dislike.
 * make many peviously implicit denendencies explicit
 - Add tests/STUB.h with macros for simpler stub file creation
 - Add tests/stub_DiskIOModule.cc for DiskIO main API

Bug 3215: Malformed IPv6 DNS reverse lookup

Bug 3205: Compile error in revno10281 flag name changed

SourceFormat Enforcement

Only ssl-bump CONNECT requests if they are about to be tunneled.

Currently all CONNECT requests are bumped, even if the redirectors have
determined a 3xx, 4xx or 5xx reply should happen.

Adapters and access controls use their own duplicated reply paths unaffected
by this bug at present.

CacheMgr: display -i/+i in regex ACL config display

Bug 3209: ssl-bumped requests forwarded unencrypted to the parent proxies/caches

This patch block all ssl-bumped requests which are not forwarded directly to
origin servers.

A new flag added to the requests_flags to mark http requests which are
ssl-bumped

Support OpenSSL 1.0.0 built without SSLv2

Fix a dirty last/unused item left after Vector<>::shift

This is an old Vector<> bug that left a dirty last/unused item after
shift(). This causes problems if stored values have destructors.

Bug 3205: SSL-bump starts then hangs

The bug appeared after commit with revno:11364 which fixes Bug 3192.

In the case of SSL-bumped connections the ConnStateData::flags.readMore flag
must be reset (set to true) when we are switching to HTTPs,
because we have to read the new unencrypted HTTP request.
This patch reset this flag in ConnStateData::switchToHttps method.

3.1.12.1

Fix: AnyP:: does not exist in 3.1

Prep for 3.1.12.1

Manager: send User-Agent header from cachemgr.cgi

Uses hard-coded string "cachemgr.cgi/" instead of progname to avoid
complications from alternative names and when running under a browser.

May be elided in transit, however the VERSION sent here will help the
queried proxy respond appropriate to the CGI capabilities as we extend
the types and content of reports coming back from the future releases.

Bug 3183: Invalid URL accepted with url host part of only '@'.

3.0 results in an ICAP segfault handling these URLs.

Newer releases do not segfault as easily, but still accept the invalid
URL and there may be other unknown side-effects.

Makes the URL parser present ERR_INVALID_URL for this edge case.

Portability: allow GnuRegex to use libcompat min()/max()

Portability: aio.h suffers from GCC-specific hacks on Linux 64-bit

64-bit file support on 32-bit systems uses GCC-specific #define to convert
the functions to 64-bit API but omits the struct aiocb passed as paremeter.

GCC seems not to mind, but non-GCC compilers barf on the invalid types.

Bug 3194: selinux may prevent ntlm_smb_lm_auth from using /tmp

Bug 3185: 3.1.11 fails to compile on OpenBSD 4.8 and 4.9

Portability Fix: getrlimit() / setrlimit() incompatible type 'struct rlimit'

On Linux (at least) with large file support but not full 64-bit environment.

The getrlimt / setrlimit are #define'd to getrlimite64 / setrlimit64
BUT, the struct rlimit internal fields are updated to 64-bit types individually
instead of a matching #define to struct rlimit64 as a whole.

One can only assume that GCC is casting to void* or some such major voodoo
which hides this type collision.

Portability: glob.h requires GCC to compile on Linux.

ICC: support 64-bit environments dirent definitions

struct dirent is not consistently defined for 32-bit and 64-bit enabled
environments. Provide a dirent_t type defined appropriate to the environment
for use instead.

Fix ModPoll signedness checks

This npending test bug was preventing any poll() errors from being
noticed and displayed. Possibly leading to some of the weird hanging
reports we have been unable to replicate.

Portability: Provide stdio wrappers for 64-bit in cstdio C++ builds

stdio.h in that case provides fgetpos64, fopen64 if
__USE_FILE_OFFSET64 is defined. It then checks whether a gcc-specific
__REDIRECT macro is available (defined in sys/cdefs.h, depending on
__GNUC__ begin available).

If it is not available, it does a preprocessor #define.

Which <cstdio> undefines, with this comment:
 "// Get rid of those macros defined in <stdio.h> in lieu of real functions.".
When it does a namespace redirection ("namespace std { using ::fgetpos; }")
it goes blam, as fgetpos64 is available, while fgetpos is not.

To fix it, we need to supply global functions matching those
signatures (not macros).

e.g.

#include <stdio.h>
#if defined(__USE_FILE_OFFSET64) &&!defined(__REDIRECT) && defined(fgetpos)
#undef fgetpos
int fgetpos (FILE * f, fpos64_t *p) { return fgetpos64(f,p); }
#endif
#include <cstdio>

This every time we use <cstdio> (directly or indirectly).

This is triggered by us defining -D_FILE_OFFSET_BITS=64 when
--enable-large-files configure is used.

Display ERROR in cache.log for invalid configured paths

The validator that checks system paths for files and directories in the
configuration file sends error messages to stderr. It should send them to
cache.log for the admin to see easily.

Also, this makes the error display as FATAL ERROR when using -k parse to
indicate that it is fatal to the startup. Other management signals where
it is not necessarily fatal will only display as an ERROR.

SourceFormat Enforcement

Portability: fix some compiler complaints

Port 3.2: Dynamic Ssl Certificate generation

Feature details at: http://wiki.squid-cache.org/Features/DynamicSslCert

TestBed: include config.h first when testing headers

ICC support: code polish to reduce compile warnings

size_t is guaranteed to be >= 0 and other signed/unsigned comparison issues