Merged from trunk

General ICMP dependant cleanups.

Moved netdb*() function definitions into icmp/net_db.h

Various compile and link errors after ICMP and Net_db move.

Some large blocks of potentially expensive code which are no-op without
ICMP and NetDB capabilities are now built only when useful.

Split ICMP library in two. Move Net DB protos into icmp/net_db.h

Author: Steve Bennett <S.Bennett@lancaster.ac.uk>
Bug 2486: SEGV at startup due to URLHostName

Make srcformat.sh script portable

Made smart enough to locate its own ROOT properly if run from bzr branch

Made it revert unsafely re-formatted files to prevent accidental commits
Now leaves a *.astylebad containing the attempted reformat for comparison

Removed bashisms to make script properly /bin/sh executable

Merged from trunk

SourceFormat: Main reformat push

This revision formats all .h .c .cc .cci files according to the
code format chosen for Squid-3 releases in future.

Due to outstanding patches which are not easily adapted a few files
have been omitted from this particular format push:

  src/comm.cc
  src/client_side.cc
  src/client_side.h
  src/errorpage.cc
  src/fde.h
  src/ftp.cc
  src/http.cc
  src/HttpRequest.cc
  src/pconn.cc
  src/pconn.h
  src/ICAP/ICAPModXact.cc
  src/ICAP/ICAPModXact.h
  src/ICAP/ICAPOptions.cc
  src/ICAP/ICAPServiceRep.cc
  src/ICAP/ICAPServiceRep.h
  src/ICAP/ICAPXaction.cc
  src/ICAP/ICAPXaction.h
  src/Server.cc
  src/Server.h
  src/structs.h

Updates for running on squid-cache.org

Author: Alex Rousskov <rousskov@squid-cache.org>
Fix compile errors with std::exception

Updated FwdState::updateHierarchyInfo() documentation with Henrik's comment
that was about to be lost in a closed bug #2391 report.

Fix link errors

Fix recursion inside srcformat script after rename

SourceFormat: Convert md5checker script into a recursive formatter+validator

This converts the md5 validation script from a single layer to a
recursive script.

Given a directory path calls the formater.pl script for all .h .c .cc and
.cci files within. Validating each file conversion as it goes and aborts
at the first error found.

This is intended for maintenance of the central Squid-3 repository code.

NP: As with the original checker its a bash script.
    Probably non-portable right now without adaptions.

Properly fix squid_kerb_auth configure recursion

Update squid_kerb_auth bundled files

reconf should not be needed. Squid bootstrap.sh does all that.
It ws not provided to us in the official 1.0.3 bundle anyway.

Also other sub-project attribution files should to be bundled with Squid.

Document the reply_body_max_size line format

Fix: Unsupported tag name: yes

--with-tags is documented by configure as having optional parameter
this is not true. The parameter is required.

Fix: cfgaux/configure failed for helpers/negotiate_auth/squid_kerb_auth

Turns out that it needed to be added to the bootstrap system as well
as made a sub-configure.

Also move sub-configure to only occure when the helper needs to be built.
There is no need to waste time configuring dead code.

Snapshot 3.1 branch

Compile error. Cast was needed

Author: Markus Moeller <markus_moeller@compuserve.com>
Update squid_kerb_auth helper to 1.0.3 release

Also add missing config.test file (empty) so
 --enable-negotiate-auth-helpers=X will build it with Squid.

  squid_kerb_auth 1.0.3 Official ReadMe file:

--------------------------------------------------------------------------------
readme.txt is the squid_kerb_auth read-me file.

Author: Markus Moeller (markus_moeller at compuserve.com)

Copyright (C) 2007 Markus Moeller. All rights reserved.
--------------------------------------------------------------------------------

squid_kerb_auth Read Me

Markus Moeller
May 12, 2007

1 Introduction

squid_kerb_auth is a reference implementation that supports authentication via
the Negotiate RFC 4559 for proxies. It decodes RFC 2478 SPNEGO GSS-API tokens
from IE7 either through helper functions or via SPNEGO supporting Kerberos libraries
and RFC 1964 Kerberos tokens from Firefox on Linux. Currently, squid_kerb_auth
 supports Squid 2.6 on Linux.

squid_auth_kerb requires either MIT or Heimdal Kerberos libraries and header files.

2 Building and Installation

Run ./configure

for help use ./configure --help

Copy the helper squid_kerb_auth to an apropriate directory.

3 Configuration

a) Configure IE or Firefox to point to the squid proxy by using the fqdn. IE and Firefox will use the
fqdn to query for a HTTP/fqdn Kerberos service principal.

b) Create a keytab which contains the HTTP/fqdn Kerberos service principal and place it into a directory
where the squid run user can read the keytab.

c) Add the following line to squid.conf

auth_param negotiate program /usr/sbin/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

d) Modify squid startup file

Add the following lines to the squid startup script to point squid to a keytab file which
contains the HTTP/fqdn service principal for the default Kerberos domain. The fqdn must be
the proxy name set in IE or firefox. You can not use an IP address.

KRB5_KTNAME=/etc/squid/HTTP.keytab
export KRB5_KTNAME

If you use a different Kerberos domain than the machine itself is in you can point squid to
the seperate Kerberos config file by setting the following environmnet variable in the startup
script.

KRB5_CONFIG=/etc/krb-squid5.conf
export KRB5_CONFIG

4 Miscellaneous

If squid_kerb_auth doesn't determine for some reason the right service principal you can provide
it with -s HTTP/fqdn.

If you serve multiple Kerberos realms add a HTTP/fqdn@REALM service principal per realm to the
HTTP.keytab file and use the -s GSS_C_NO_NAME option with squid_kerb_auth.

Merge from trunk

TestBed: maximum build run

Update cf_gen_defines to match code

Bug 2474: action 'menu' is hidden but should not be

Bug 2393: DNS requests getting stuck in idns queue

Port of Squid-2 fix by Henrik Nordstrom

There seems to be two problems here.

a) On TCP communication failure Squid starts to restransmit the TCP query as
fast as it can, with no bounds checking. Keeps doing that until there is a
response or Squid is restarted...

b) For some reason the retransmit queue seems to halt for you. I have not yet
reproduced this issue, but may be related to the first..

Author: Henrik Nordstrom <hno@squid-cache.org>
Bug 2447: pt 1: Segfault on failed TCP DNS query

Adds debug messages for better tracking.
Aborts fatal operations early.

Author: Christos Tsantilas <chtsanti@users.sourceforge.net>
Port Connection Pinning from 2.6

Real: Fix NO DEFAULT compile errors

Undo r9254. Bad mixed commit

Add config.test for squid_kerberos_auth helper

File is empty. It exists only go let the configure tests for
--enable-negotiate-auth-helpers=all detect the helper is okay for build.

Merge from trunk

Fix NO DEFAULT compile errors

Link new helper into Squid autotools chain

Import new helper code.

Bug #2447: Segfault on failed TCP DNS query

This patch makes Squid log the DNS failure if it fails to connect to
a DNS server over TCP. TCP is required if the DNS response do not fit
within the small DNS UDP packet size (ca 0.5kb).

Converity detected. inconsistent error detection on StoreIOBUffer

Audit reveals only one of several callers which might set negative length
state were checking for it and setting error flag properly.

Makes more sense for the StoreIOBuffer constructor to do its own
error state detection with information than to offload on callers.

Coverity detected possible NULL dereference.

KK message response with exactly zero-length encrypted data component
will cause Squid fakeauth helper to crash.

Not expected in normal operation. But maybe seen with specially crafted
or rare mangled responses.

Veto: r9250. bad patch.

Bug #2447: Segfault on failed TCP DNS query

This patch makes Squid log the DNS failure if it fails to connect to
a DNS server over TCP. TCP is required if the DNS response do not fit
within the small DNS UDP packet size (ca 0.5kb).

This patch apparently do not solve the segmentation fault, but at least
logs the condition properly.

Removed UNUSED_CODE guards around check_null_access_log() because it is still
used.  I do not know whether the latter is a bug, so this fix may be wrong,
but it allows trunk to build.

Removed extra ICAPConfig* parameter from depricated ICAP config functions.
I have fixed this bug before, but in the generated file :-(

eCAP support, phase 2: Implemented libecap interfaces, added eCAP
squid.conf options. Link with libecap when eCAP support is enabled.

eCAP code needs polishing and enhancement but appears to work for a few
targeted cases. I am committing this now so that users working on eCAP
modules can test and provide more specific feedback.

These adaptation-specific changes should not have significant effect on
core code.

The libecap library is available at http://www.e-cap.org/

  Merged from trunk.
  These were eCAP,p2-inspired changes that were committed separately.

Catch most exceptions in main() to report exceptions uncaught by Squid.  This
is for last resort reporting only -- the program would exit anyway (usually
with less information) if we did not catch these.

The code re-throws caught exceptions to reduce side effects of catching it,
just in case. May need more work depending on how compilers handle rethrowing.

These changes were inspired by eCAP.

Merged from trunk.
These were eCAP,p2-inspired changes that were committed separately.

Synced after adding HttpMsg::clone().

Added HttpRequest::clone, completing HttpMsg::clone API. When ICAP is
converted to use this, it should work faster for a common "no modifications"
case because it would not have to print and parse the headers.

TODO: Consider renaming the method since it does not produce an exact,
true replica. Some connection-related flags and peer settings are not
cloned because the clone is not always "attached" or "coming from"
the same connection (e.g., it is cloned for eCAP to modify). We may also
#ifdef the method if it is not needed outside of adaptation code.

The HttpMsg::body_pipe field is now copied when a message is cloned.
I was not sure what the right thing to do there is. The field itself
may be misplaced (it is not about the message structure or properties,
but about the current body transfer state, but we lack a good place to
store that...).  To reduce the number of cloning exceptions, and since
eCAP and probably ICAP code benefit from pipe copying, it is copied
for now. It would not be too hard to change.

Polished ServerStateData cleanup code: Moved more cleanup code from the
destructor with its dangers of half-destroyed context to safe swanSong.

Made TextException a child of std::exception so that it is easier to catch
more exceptions (standard and custom) with one catch(). The catching code
usually does not care what the exception is anyway.

TextException needs more work to report more information in what() method.

Catch std::exception to catch more printable exceptions. TextException is an
std::exception [child].

These changes were inspired by and required for eCAP.

Polished BodyPipe API. No runtime changes expected.

Merged from trunk.

config cleanup: make log defaults optional.

access.log at least can have multiple logs defined. Declaring an
unconditional default is not a good idea.

Same goes for cache.log default despite its different design.

Now only define their default if none given by the user.

Revert active part of error page stylesheets.

Strange Install blocker bug found. No solution yet.

(19:04:54) rousskov: 2008/09/30 00:05:20| errorpage.cc(290) errorTryLoadText:
 '/usr/local/squid3-ecap/share/errors/templates//usr/local/squid3-ecap/etc/errorpage.css':
 (2) No such file or directory
(19:07:52) rousskov: $ make install > /tmp/tm
(19:07:52) rousskov: /bin/bash: -c: line 17: syntax error near unexpected token `then'
(19:07:52) rousskov: /bin/bash: -c: line 17: `@if test -f /usr/local/squid3-ecap/etc/errorpage.css ; then \'

To keep swanSong() checks simple, we need to NULL-ify vb body_pipe even if
we never were a consumer (because of useVirgin short circuiting).

For useVirgin() cloning to work when we were a consumer, we need to clone
before we clear the consumer (and body_pipe with it).

The whole thing is icky. This should be improved when Adaptation::Message does
not have to store a copy of body_pipe (there is already a TODO for that,
IIRC).

Merged from trunk.

Fix: stylesheet has proper path. does not need new prefix

Merged from trunk.

Synced with libecap::Body simplifications.

SourceFormat: include/

SourceFormat: include/

Log to cache.log what languages users are attempting to auto-negotiate for translations.

Successful negotiations are not logged. Only failures
have meaning to indicate that Squid may need an upgrade
of its error page translations.

Made "make check" happy.

Catch std::exception (instead of a more specific TextException) to catch
more exceptions. We do not care what exception we actually caught anyway.

Removed unused ICAP-only static declarations and definitions.

Catch std::exception to catch more printable exceptions. TextException is
not an std::exception [child].

Rethrow exceptions caught in main() to minimize catching side-effects. May
need more work.

Merged from trunk.

Fixed indentation.

Synced with minor libecap API changes

CSS control over translated error pages

Adds %l replacement tag to include CSS file data into an error page.

Adds error_stylesheet option to name a file as the CSS content to insert
into each error pages displayed. (default /etc/squid/errorpage.css)

Adds CSS hooks into the templates.

Adds errorpage.css to squid config directory with current CSS settings
pulled from old templates and demo entries for new hooks.

The combined effect of these is allows company sites to stylize the pages
produced to some extent limited only by the CSS capabilities. Without
worrying about translation texts themselves.

Only works for dynamically translated pages based on updated templates.
Default CSS file may need some cleaning.

Compile errors

Polished code by introducing two explicit and mostly independent states
(proxying virgin body and proxying adapted body) as well as a flag to
check for virgin body content access after the pipe was invalidated.

POT update

Merge from trunk

Languages: various additions.

Fixed memory leak: MessageRep was not destroying theFirstLine.

Updates auto-save

Synced with the new libecap pull-pull interface where the host pulls
adapted body and the adapter pulls virgin body.

When adding a body_pipe to adaptation message, do not forget to update
the raw header as well.

Polished comments: duplication of body_pipe leads to coding bugs when adding
a pipe to a message.
No functional changes.

Fixed comm_close handling in deferred reads. The code was expecting old-style
comm_remove_close_handler call to work if the close handler has not been
dialed yet. We now store a new-style callback so that we can reliably cancel
the close hander call.

Removed all methods from CommRead except for constructors. Apparently,
they were all unused and most were not even defined.

Language: Czech Translation

Language: Chinese Translation

Language: Japanese Translation

New suggestions. Unverified.

update acording to bugzilla comment 11

Import from bugzilla

Language: Bulgarian Translation

Added pipe cleanup to swanSong, used when we terminate unexpectedly.

Polished debugging, added temporary detailed debugging.

Made TextException a child of std::exception so that it is easier to catch
more exceptions (standard and custom) with one catch(). The catching code
usually does not care what the exception is anyway.

TextException needs more work to report more information in what() method.

Merged from trunk.

Summary: Synced with libecap, adopted pass-all-changes-through transactions
model.  Polished. Needs more work.

stillProducing and stillConsuming do not modify their arguments.

Use message representatives to store virgin and adapted messages.

Migrating to a model where all message changes are done via transaction,
not the message itself. A message cannot handle many changes on its own
because it is not a job, and placing some changes in MessageRep and some
in XactionRep results in messy code.

Polished body handling. Needs more work.

Added satus reporting. Needs more work.

Synced with libecap changes related to FirstLine move to Message.

Migrating to a model where all message changes are done via transaction,
not the message itself. A message cannot handle many changes on its own
because it is not a job, and placing some changes in MessageRep and some
in XactionRep results in messy code.

Call parent's status() until we have our own.

Updates auto-save

Performance fix: Check half-closed descriptors at most once per second.

A few revisions back, comm checked half-closed descriptors once per second,
but the code was buggy. I replaced it with a simpler code that checked each
half-closed descriptor whenever the OS would mark it as ready for reading.
That was a bad idea: The checks wasted a lot of CPU cycles because half-closed
descriptors are usually ready for reading all the time.

This revision resurrects 1 check/sec limit, but hopefully with fewer bugs. In
my limited tests CPU usage seems to be back to normal.

All half-closed descriptors are now stored in TheHalfClosed set. When it is
time to check the corresponding connections, Comm schedules a read for
each descriptor that is not already reading. Conflicts with regular/user
reads are resolved as before -- we silently cancel the internal half-closed
read.

TODO: It is possible that we do not need to read at all and should call
getsockopt() instead to test the connection.

Added a DescriptorSet class to manage an unordered collection of unique
descriptors.

DescriptorSet is used for half-closed descriptor monitoring. It might be
useful for deferred reads as well, but that remains to be seen.

DescriptorSet has O(1) complexity for search, insertion, and deletion. It uses
about 2*sizeof(int)*MaxFD bytes total. Splay tree that used to store
half-closed descriptors previously uses less RAM for small number of
descriptors but has O(log n) complexity. Same for std::set<int>, a potential
DescriptorSet replacement.

Update translators info