ACL Tag requires request not conn

This makes the tag ACL type work in most access lists.

Connection details are not always available and not actually needed by tag.

Remove HTTP/1.1 sent to clients.

3.1.2

Prep for 3.1.2

Make Ip::Address < operator work with NOADDR

Fix build issue in WCCPv1 handshake port.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Portability fix for profiler on CPU/OS combos where it's not supported.

Drop obsolete RADIUS auth makefiles

Bug 2863: pt 1: Some Cygwin compile errors

Author: Amos Jeffries <squid3@treenet.co.nz>
Author: gkeeling <grm___k@hotmail.com>
Bug 2860: WCCPv1 broken in 3.1

Ensure the PID file directory exists on install.

/var/run may not be the location installed to now and squid -k signals will
not work if the PID file cannot be opened due to missing diretories.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2913: fix db_auth warning in new perl version

Author: Walter <bundestrojaner2@googlemail.com>
Bug 2904: make can create uncomplete files

Real --enable-ipv6 fix

basic_ldap_auth.8 does not exist in 3.1

Bug 2895: Disable setsockopt(IP_TRANSPARENT) for TPROXYv2

Re-disable IPv6-only settings in IPv4

Correct behaviour of --enable-ipv6.

 * Absence of the option means auto-detect.

 * Disable means drop IPv6 code from build.

 * Enable now actually means require IPv6 to be active and working.
   If set the build will fail on machines without IPv6 capability.

Bug 2874: accept literal IPv6 address in icap_service URL

NP: This just ports the URL parsing from squid's main parser.
    If host needs to be written out anywhere it will need to be
    re-encoded properly.

Cleanup: remove Cisms from GNURegex alternative

Author: Robert Walsh <robert.walsh@bbn.com>
Bug 2848: Early Shutdown kill leads to misleading clean close with client browsers

Send TCP RST instead of FIN when the data is known to be incompletely sent.

Remove GNUregex malloc hack

stdlib.h is provided by the OS compat layer of Squid.

If malloc/realloc truely need to be redefined they can be re-added
to the specific OS compat import with the correct prototypes.

Author: Francesco Chemolli <kinkie@squid-cache.org>
Improved helper configlets for wider compatibility.

 * Add configlet tests for building the DB basic auth helper
 * Improved detection of samba prefix for wbinfo_group and SMB
 * Also check for SASL shared libraries in SASL helper
 * Distribute the config.test files to enable auto-build properly

Author: Unknown
Bug 2879: 3.0 regression in headers end finding

Ported from Squid-2.

Bring FDSETSIZE wrappers in with Squid wrapping style.

Also adding kFreeBSD wrapper to same logic as Linux.

Bug 2899: Restore lost rfc1738_unescape() data type

Data type was converted to char from int during recent upgrades.
On unix systems char is unsigned making the safety checks fail on build.
This reverts the type back to a usable signed int, no logic changes.

squidclient: Use -k option to control connection keep-alive or close

This is needed to prevent HTTP 1.1 servers (or Squid) holding the
connection open after squidclient has finished.

Retain the old behavior for HTTP/1.0 requests.

HTTP1.1: Advertise 1.1 on replies

Remove c++ comment from C code

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2895: TPROXY2 compile error

Sync @makesnmplib@ with current Squid coding styles

Author: Yannick Bergeron <yaberger@ca.ibm.com>
Author: Amos Jeffries <squid3@treenet.co.nz>
AIX build fixes

Yannick:
 C code in strict compilers

Amos:
 rfc1738 buffer overflow prevention

3.1.1

Prep for 3.1.1

Bug 2827: assertion failed: FilledChecklist.cc:90: "conn() != NULL"

Assertion was bunk. We can happily continue without unlocking a
non-existent lock.

Document the sslproxy_options and ssl_proxy_ciphers options.

Default pinger OFF

The pinger install is still done without the special permissions needed.
So the pinger will fail to run in most setups. Will turn this on again
in a later release when the pinger is actually installed properly by
default.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Drop ufsdump from default builds.

As reported some weeks ago ufsdump fails to link on the upcoming Fedora
13 release due to linking issues, and as reported by Amos the same
linking issues is now also seen on Debian since somewhere between March
2 - 5.

While investigating this I found the following conclusions

- We are not actually installing ufsdump
- The dependencies between the Squid libraries are very non-obvious,
with libraries depending on plain object files and other strange things.
- The ufsdump linkage issues is somehow triggered by the libraries
including objects needing symbols from objects not included in that link
- Those failing library objects are not actually needed by ufsdump.
Linking succeeds if repeatedly removing each reported failing object
from the squid libraries.
- If the libraries were shared libraries then linking would fail on all
systems

The issue have been identified, or actually two separate issues. What is
yet unclear is what is the proper solution..

- Inline operator overloading causing indeterministic linkage,
resulting in seemingly unneeded sub modules being pulled in "at random".
Most notably this is seen with our custom new operation (which btw is
duplicated in two places: src/SquidNew.cc and include/SquidNew.h)

- The current Squid libraries have very unclear dependencies with no
  clean boundaries, resulting in linking failure when the above happens..

Bug 2873: undefined symbol rint

Detect math library properly based on rint synbol we need.

3.1.0.18

Prep for 3.1.0.18

Prep for 3.0.STABLE25

Bug 412: Send HTTP/1.1 to servers and peers

Building on a lot of work by a very great many people over eight years.
Thank you very, very much to everyone who made this possible.

Author: Various Translators
Error page language updates

 * Serbian language updated and split into Cyrillic and Latin alphabets.
 * Update all to include new templates content.

SourceFormat Enforcement

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Various other Digest parser fixes

* Correct debug message when failing to parse digest attributes
* Correct digest stale=false in POST workaround code
* Fix new digest parser shutdown code when digest auth not configured
* Sanity check of the username.
  " cannot be allowed in usernames until the digest helper protocol
  has been redone

Author: Francesco Chemolli <kinkie@squid-cache.org>
Bump the debug-level of one cache manager related message

SourceFormat Enforcement

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Improve coding style of digest parser somewhat so it's easier to follow

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Correct quoted-string parser. Got differently broken in digest parser fix.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2367: Fix stale=true on digest requests with unknown nonce

The nonce staleness check only worked if the stale nonce had not yet
been garbage collected, often resulting in incorrect stale=false
responses and resulting auth popups when using digest auth.

Note: this fix is different from how it's done in squid-2 where fixHeader
is called on all schemes in such conditions but only the active one with
and auth_user_request. Not entirely sure why that is done, but commit
message says something about Negotiate authentication.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2845: Rework the http digest auth parser

- Validate sanity of digest messages
- Properly parse quoted strings

Send HTTP1.1 compliant 417 responses

Port of the 417 response handling and associated ignore_expect_100
from Squid 2.7.

Author: Henrik Nordstrom <hno@squid-cache.org>
Swallow 1xx status messages

Ported from 2.7. This makes Squid swallow 1xx replies from 1.1 servers
safely without breaking the clients connection.

Raised some noncritical debug messages' debug-level.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Associate external acl message with the request

this change associates external acl message with the request just as
is done with the log message, tags etc. Was in a global variable.

The old global variable is still there as a fallback, but can probably
be removed.

Author: Steve Snyder <swsnyder@snydernet.net>
Bug 2869: Remove unused external reference

Author: Diego Woitasen <diegows@xtech.com.ar>
Bug 2507: squid_ldap_group: Strip Domain name separated by +

Bug 2787: unknown/unexpected status code messages

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Bug 2813: Random unix_group crash at startup due to uninitialized pointer reference

The group array was not properly initialized.

This patch also removes the limitation of 10 groups.

Author: Henrik Nordstrom <henrik@henriknordstrom.net>
Migrate various IpAddress internal constants to private static members

Correct IPv4-mapped prefix, broken in rev 9865 Use POSIX tests for IPv6 address detections.

Author: Adam Ciarcinski
Bug 2866: Support OpenSSL 1.0

Port of patches provided by Adam Ciarcinski to fix build issues with
recent versions of OpenSSL in Apache on NetBSD.

3.1.0.17

Prep for 3.1.0.17

Correct FAQ link

Bug 2616: reduce IdleConnList::removeFD messages

Author: Joao Alves Neto <alves_joao@hotmail.com>
NTLMv2 support for fake NTLM helper.

Author: Henrik Nordstrom <hno@squid-cache.org>
Clean up use of httpReplySetHeaders to be consistent across the code.

... and remove the unneeded http_version argument.

Ported from 2.7

HttpRequest uses GetHost in 3.1

Prep for 3.0.STABLE24

Author: Various Translators
Error Page Language Updates

Remove tidyHtml from the template generation tools.

While nice, It introduces several problems:

* any syntax errors at all in the translation text causes a blank
  translated text file to be produced. Without any error code.

* automatically downgrades the HTML content-type meta to "us-ascii"
  despite the input and output both actually being UTF-8

* added dependency for building.

It's now used automatically by the translate toolkit from 1.5.0 so
needs to be expicitly disabled when present.

Add adapted_http_access option. Port of http_access2 from Squid-2

Author: Jean-Gabriel Dick <jean-gabriel.dick@curie.fr>
Bug 1843: multicast-siblings cache_peer option for optimising multicast ICP relations

'multicast-siblings' : this option is meant to be used only for cache peers of
type "multicast". It instructs Squid that ALL members of this multicast group
have "sibling" relationship with it, not "parent".  This is an optimization
that avoids useless multicast queries to a multicast group when the requested
object would be fetched only from a "parent" cache, anyway.  It's useful, e.g.,
when configuring a pool of redundant Squid proxies, being members of the same
multicast group.

Author: James Brotchie <brotchie@gmail.com>
Port of X509 certificate alias-domain handling from 2.7.

Typo in rev9881

Author: Kieran Whitbread <k.j.whitbread@qmul.ac.uk>
Bug 2858: Segment violation in HTCP

Author: Markus Moeller <huaraz@moeller.plus.com>
squid_kerb_auth logging clarification

add ERROR, WARNING, etc to the logging messages.

Prep for 3.0.STABLE23

Author: Frank Schmirler <squid@schmirler.de>
Bug 2854: assertion failed: peer_select.cc:627

Peer logging strong omitted from bug 2851 patch port.

pam_auth SQUID_SOLARIS ifdef incomplete

pam_auth in 3.1 is C not C++

3.1.0.16

Prep for 3.1.0.16

Prep for 3.0.STABLE22

Author: Marko <mr_4u2@yahoo.com>
Bug 2496: Downloading some variants in full before relaying

AKA, assertion failed: comm.cc:115: "ccb->active == false"
if the client disconnected before download finished arriving.

Author: Graham Keeling <graham@equiinet.com>
WCCPv1 not connecting to router correctly

I am coming across a problem with WCCPv1...

squid-2.5 connects to UDP port 2048, I get replies, and everything else then works.

squid-3.1 looks like it is trying to connect to UDP port 0 on the cisco.
[and fails to work]

I have looked at the src/wccp.c for squid-2.5, and it is clear that the port is
being set to 2048 for the connection to the router.
I have also looked at the source for 2.6, 2.7 and 3.0 (src/wccp.cc for this
version).
In all those, it appears to be setting the port on the outgoing connection.

However, in the 3.1 source, it doesn't.

Author: Alex Rousskov <rousskov@measurement-factory.com>
Polished %>ha description.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2851: Connection pinning fails when using a peer

Author: Christos Tsantilas <chtsanti@users.sourceforge.net>
Add the http::>ha format code and make http::>h log original request headers

This patch:
 - Modify the existin "http::>h format code to log HTTP request headers
   before any adaptation and redirection
 - Add the new format code "http::>ha" which allow the user to log HTTP
   request header or header fields after adaptation and redirection.

This is a Measurement Factory project.

Author: Frank Schmirler <squid@schmirler.de>
Bug 2850: Mismatch in hier_code enum / hier_strings array

Display cache_peer name option in CacheMgr config

Author: Michael van Elst
Use POSIX tests for IPv6 address detections.

Bug 2553: X-Forwarded-For with IPv6 address not handled correctly

Also, remove the port from consideration. It is meaningless on indirect
client address.

Fix build errors when XFF compounds with other features

Some squid.conf options require XFF and other component wrappers to build
properly.

This fixes ICAP and Delay Pools clash which appeared in testing. Other
multiple-component wrapping can be done in identical fashion

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2731: Add follow_x_forwarded_for support to ICAP

Pass the indirect client address to the ICAP server using X-Client-IP.

Author: Wolfgang Nothdurft <wolfgang@linogate.de>
Bug 2730: Regressions in follow_x_forwarded_for since Squid-2

Two Major Regressions:

* Omitted testing for trust of the directly connecting client.
  this is critical is trusting the header content itself.
  The absence permitted remote clients to forge X-Forwarded-For
  and gain access to resources through Squid.
  (mitigated by the following)

* Bad logic in implementing the trust model resulted in any XFF
  headers containing untrusted IPs to be dropped in their entirety.
  This resulted in clients transiting more than one proxy heirarchy to
  be incorrectly logged and reported in the second.

Some polish alterations to the existing logics:

* Testing the direct client address for trust means the testing must be
  fully async 'slow'. Thus avoiding the memory leaks found on occasion.

 * acl_uses_indirect_client is not strictly needed to test multiple levels
  of X-Forwarded-For properly. The entire list of IPs are now always
  tested until an untrusted is found or an ACL failure occurs.

More portable rfc1035 unit test

Add warnings explaining Invalid Response errors generated by Squid