Bug fix: TLS/SSL Options does not apply to the dynamically generated certificates

The TLS/SSL options configured with http_port configuration parameter does not
used to generate SSL_CTX context objects used to establish SSL connections.
This is means that certificate based authentication, or SSL version selection
and other SSL/TLS http_port options does not work for ssl-bumped connection.
This patch fixes this problem.

This is a Measurement Factory project

Release Notes: document ECN vs TOS issue clearer for 3.1

SourceFormat Enforcement

Bug 3615: configure check for default max number of FDs is broken

Fix maximum_single_addr_tries upgrade

Fix documentatino on loop detection

Bug 3622: peerClearRRStart scheduling multiple events

Bug 3626: Forwarding loops on intercepted traffic

Changes to interception handling in 3.2 series (namely the preference
for using ORIGINAL_DST) have increased the chances that misconfigured
network systems involving Squid will hit forwarding loops.

Two instances are currently known:
 * passing forward-proxy traffic to a interception port.
 * NAT performed on a separate box.

This enacts an old TODO by removing the loop detection bypass for
intercepted traffic and accelerated traffic. Now we always check for
loops regardless of how the request was received.

NOTE: accel mode was only included due to the TODO.
      If problems are found there it can be re-instated.

Make CpuAffinitySet::applied() method non-const.

According to CPU_SET(3) and, apparently, on some systems (e.g.,
OpenSuSE 10.3) CPU_COUNT macro expects a non-const argument.  The
patch fixes build error on these systems.

Retrieve client connection information for ACL checks from the related HttpRequest object

This patch enable SSL client certificate ACL checks (user_cert and ca_cert)
in all cases the client connection information can retrieved from the related
HttpRequest object, eg when making peering decisions (peer_cache_access ACL).

Discussed under the "Supply client connection and IDENT information to
peer_cache_access ACL check" thread on squid-dev.

This is a Measurement Factory project

Fix 'error: continue statement not within a loop'

Bug 3609: several RADIUS helper improvements

Regression: login=PASS send no credentials when none available.

login=PASS should act like PASSTHRU, sending no credentials header, when
no client supplied OR external ACL credentials are available.
3.2 has been found wrongly adding the username "PASS" in this case.

SourceFormat Enforcement

protos.h refactoring, part one.

Refactor many function prototypes from protos.h to more specific header files.
Change linkage for moved prototypes to c++.

Cleanup: duplicate include of squid.h

SourceFormat Enforcement

Enable source-formatting tools to collapse multiple whitelines in the source to one.

SourceFormat Enforcement

Bug 3613: relax standard-compliance strctness on clang to enable build

When clang is invoked with the -std=c++0x option, it won't make available some system functions
defined in c99. For some reason configure fails to detect this, and so the built-in implementation is
not invoked. This change prevents enabling the -std=c++0x option for clang.

Prep work for automatic sorting of include directives.

Automatic sorting of include files reveals some indirect inclusions, which would break the build.
scripts/sort-includes.pl is the tool to do the automatic header include order sorting.
The other changes in this set fix the issues which that be introduced by running the sorting.

Bug 3605: memory leak in Negotiate authentication

Added missing includes in adaptation/esi

Added missing include in ssl helper

Fix ip/Intercept header ordering and documentation

netfilter_ipv4.h requires including limits.h first. Added.

Added missing include in mem_hdr_test

Add missing includes

Make mk-globals-c.awk more permissive on the input it accepts

Release notes: fix wrong link to Translations

SourceFormat Enforcement

Prep for 3.2.1

Docs: update configure libcap messages to say 2.09+ required

Remove --enable-ntlm-fail-open

This feature has been half missing for quite some time (10 years).
The SMB helper sends the LD code back to Squid when the directive is
compiled in, but there is no Squid code handling such responses, back as far
as squid-2.

Removed squid-old.h

Bug 3610: peername_regex ACL

SourceFormat Enforcement

Bug 3605: memory leak in peer selection

Portability: squid provides strtoll()

Fix bashisms in bootstrap.sh

FreeBSD 7: fix compile warnings in unit tests

MacOS: fix AddrInfo default flags

shuffel MEMPROXY macros for better CacheMgr reporting names

SourceFormat Enforcement

allow for _SQUID_EXTERNNEW_ predefine

SourceLayout: introduce Fs::Ufs namespace, split ufscommon, store_dir_ufs and store_io_ufs

Release Notes: updates after STRICT_ORIGINAL_DST changes

Bug 3478: workaround: better default handling without -DSTRICT_ORIGINAL_DST

This extends the -DSTRICT_ORIGINAL_DST compile-time flag to include the
logics listing ORIGINAL_DST as first preferred destination.

Which makes ORIGINAL_DST a swap-in replacement for DIRECT and enables
never_direct, always_direct, prefer_direct configuration to apply.

MacOS: warning: 'gnu_inline' attribute directive ignored

MacOS: detect glibtool and glibtoolize when bootstrapping

SourceFormat Enforcement

Convert all yet-unconverted stub files to the STUB API.

Merged from trunk

Fix missing include for leakcheck.h

Portability: shuffle out the last useful macros from squid-old.h

SourceFormat Enforcement

implemented STUB_RETVAL_NOP
Converted stub_tools to stup API.

converted stub_StatHist.cc stub_main_cc.cc stub_mem.cc stub_store_rebuild.cc to stub API

Portability: CMSG_*() macro API substitute

Windows: MinGW provides truncate()/ftruncate()

Fixed formatting of stub_libcomm.cc

Windows: fix winsock detection capabilities

Moved to STUB API stubs for DelayId.cc, HelperChildconfig.cc, debug.cc

Windows: provide POSIX ABI wrapper for mkdir()

Merged from trunk

Removed dead code from stub_cache_cf.cc and stub_client_side_request.cc

Moved CBDATA_CLASS declarations to the end of classes as per coding guidelines.

Changed all level-0 debugs messages to use the DBG_CRITICAL definition.

Changed all level-1 debugs messages to use DBG_IMPORTANT definition.

Improve support for clang compilers

clang++ doesn't support c++ variable arrays for non-pod types.
Change variable arrays to dynamically-allocated arrays, Ipc::QueueReaders, Ipc::StoreMap and Ipc::Mem::PageStack

Release notes: use SPONSORS (no file type) as the published file name

SPONSORS.txt is the website published filename, but it seems some distros
were using the source code file name.

Use SPONSORS.ist for the coded listings instead.

Release Notes: NCSA helper algorithm limits

Prep for 3.2.0.19

SourceFormat Enforcement

Stub updates after bump-server-first changes

More GCC 4.2 dependency fixes

Release notes: build SPONSORS.txt in bootstrap instead of automake

Revert r12231 - seems to break SMP cache

Skip Failure Ratio calculations entirely when ICP is disabled.

Also, mention ICP in the logged error message. unqualified 'HIT' confuses
people (self included) more familiar with the HTTP type of HIT responses.

Support -DFAILURE_MODE_TIME=n compiler flag

This value determins at compile-time how long Squid spends in HIT-only
mode after the failure ratio goes over 1.0. see checkFailureRatio() in
src/client_side_request.cc for details on the ratio.

This flag is supported to remove the need for patching when alteration
is required.

Add copyright attributions for SN.png and errorpage.css

Removed some duplicates and fixed formatting in CONTRIBUTORS list

SourceFormat Enforcement

Release notes: typo

GCC 4.2 dependencies

SourceFormat Enforcement

Bug 3478: Allow peer selection

This re-enables Squid peer selection algorithms for intercepted
traffic which has failed Host header verification.

When host verification fails Squid will use, in order of preference:
 * an already PINNED server connection
 * the client ORIGINAL_DST details
 * cache_peer as chosen by selection algorithms

NOTE: whenever DIRECT is selected by routing algorithms the
      ORIGINAL_DST is used instead.

Peer selection results are updated to display PINNED and
ORIGINAL_DST alongside DIRECT and cache_peer.

SECURITY NOTE:

  At this point Squid will pass the request to cache_peer using the
  non-trusted Host header in their URLs. Meaning that the peers
  may still be poisoned by CVE-2009-0801 attacks. Only the initial
  intercepting proxy is protected.

  Full protection against CVE-2009-0801 can be enjoyed by building
  Squid with the -DSTRICT_HOST_VERIFY compile-time flag. This will
  make the peers unreachable for intercepted traffic where the
  Host verification has failed.

Bug 3580: IDENT request makes squid crash

Release Notes: update SPONSORS list

The SPONSORS file is supposed to:

* list Sponsors who paid for significant developments in the squid code,
  donated hardware for devleopment etc.
* exclude cash donations to the project (only cash to a developer for
  specific work)
* in an ordered list broken down in reverse-chronological order of the
  latest release they sponsored anything.

For simplicity of maintenance I'm adding @Squid-X.Y labels at the
boundaries for the bzr copy. They should be stripped out automatically
by the "make dist" process for release packaging.

Release Notes: update CONTRIBUTORS to match patch authors list

Adjust for GCC-4.7

Merged Postfix-Prefix branch: Fix decrement operator in hash4 function(lib/hash.c)

The "Postfix-Prefix" patch code is not equivalent with the replaced code inside
hash4 function.

Consolidate external_acl_form config dumping a bit and add missing percent dumper.

Allow a ufs cache_dir entry to coexist with a shared memory cache entry
instead of being released when it becomes idle.

The original boolean version of the StoreController::dereference() code
(r11730) was written to make sure that idle unlocked local store_table entries
are released if nobody needs them (to avoid creating inconsistencies with
shared caches that could be modified in a different process).

Then, in r11786, we realized that the original code was destroying non-shared
memory cache entries if there were no cache_dirs to vote for keeping them in
store_table. I fixed that by changing the StoreController::dereference() logic
from "remove if nobody needs it" to "remove if somebody objects to keeping
it". That solved the problem at hand, but prohibited an entry to exist in
a non-shared cache_dir and in a shared memory cache at the same time.

We now go back to the original "remove if nobody needs it" design but also
give non-shared memory cache a vote so that it can protect idle non-shared
memory cached entries from being released if there are no cache_dirs to vote
for them.

Bug 3593: socket failure: Address family not supported by protocol

Remove unnecessary todo marker in stub_debug.cc

Merged Postfix-Prefix branch: refactor inc/decrement operators from postfix to prefix form.

Changed some increment/decrement operators from postfix to prefix form.

Changed increment operators from postfix to prefix form.

Changed increment operators from postfix to prefix form.