checksrc.bat: Added support for the tests directory

vauth: Removed the need for a separate GSS-API based SPN function

curl_sasl: Fixed potential null pointer utilisation

Although this should never happen due to the relationship between the
'mech' and 'resp' variables, and the way they are allocated together,
it does cause problems for code analysis tools:

V595 The 'mech' pointer was utilized before it was verified against
     nullptr. Check lines: 376, 381. curl_sasl.c 376

Bug: https://github.com/curl/curl/issues/745
Reported-by: Alexis La Goutte

spnego: Small code tidy up

* Prefer dereference of string pointer rather than strlen()
* Free challenge pointer in one place
* Additional comments

krb5: Small code tidy up

* Prefer dereference of string pointer rather than strlen()
* Free challenge pointer in one place
* Additional comments

krb5_gssapi: Only process challenge when present

This wouldn't cause a problem because of the way the function is called,
but prior to this change, we were processing the challenge message when
the credentials were NULL rather than when the challenge message was
populated.

This also brings this part of the Kerberos 5 code in line with the
Negotiate code.

krb5: Fixed missing client response when mutual authentication enabled

Although mutual authentication is currently turned off and can only be
enabled by changing libcurl source code, authentication using Kerberos
5 has been broken since commit 79543caf90 in this use case.

krb5_sspi: Only process challenge when present

This wouldn't cause a problem because of the way the function is called,
but prior to this change, we were processing the challenge message when
the credentials were NULL rather than when the challenge message was
populated.

This also brings this part of the Kerberos 5 code in line with the
Negotiate code.

krb5_sspi: Only generate the output token when its not allocated

Prior to this change, we were generating the output token when the
credentials were NULL rather than when the output token was NULL.

This also brings this part of the Kerberos 5 code in line with the
Negotiate code.

krb5: Only generate a SPN when its not known

Prior to this change, we were generating the SPN in the SSPI code when
the credentials were NULL and in the GSS-API code when the context was
empty. It is better to decouple the SPN generation from these checks
and only generate it when the SPN itself is NULL.

This also brings this part of the Kerberos 5 code in line with the
Negotiate code.

tests/libtest: follow our code style guidelines better

... checksrc of all test code is pending.

checksrc.whitelist: remove fopen() uses

formdata: use appropriate fopen() macros

checksrc: improve the fopen() parser somewhat

The quote scanner was too fragile, now look for a comma instead to find
the mode argument.

unit1604: fix snprintf

follow-up to 0326b06

sizeof(pointer) is no good for the buffer size!

Reported-by: Viktor Szakats

unittests: Fixed compilation warnings

warning: implicit declaration of function 'sprintf_was_used'
         [-Wimplicit-function-declaration]

Follow up to the modications made to tests/libtest in commit 55452ebdff
as we prefer not to use sprintf() now.

curl.1: -w filename_effective was introduced in 7.26.0

We never made a 7.25.1 release

7.49.0: next release version

http2: make use of the nghttp2 error callback

It offers extra info from nghttp2 in certain error cases. Like for
example when trying prior-knowledge http2 on a server that doesn't speak
http2 at all. The error message is passed on as a verbose message to
libcurl.

Discussed in #722

The error callback was added in nghttp2 1.9.0

spnego: Renamed the context's SPN variable

To be consistent with the Kerberos 5 context and other authentication
code.

krb5_gssapi: Renamed the status variables

For consistency with the spnego code.

krb5: Moved host from Curl_auth_create_gssapi_user_message() to be argument

For consistency with the spnego and oauth2 code moved the setting of
the host name outside of the Curl_auth_create_gssapi_user_messag()
function.

This will allow us to more easily override it in the future.

test1119: Fixed missing CURL_DID_MEMORY_FUNC_TYPEDEFS symbol

RELEASE-NOTES: Removed "http_negotiate: Corrected host and proxy host name"

As this was introduced in the recent vauth changes and not a prior
release.

RELEASE-NOTES: synced with 0aa8da10bbdafa

http_negotiate: Corrected host and proxy host name being wrong way round

I had accidentally used the proxy server name for the host and the host
server name for the proxy in commit ad5e9bfd5d and 6d6f9ca1d9. Whilst
Windows SSPI was quite happy with this, GSS-API wasn't.

Thanks-to: Michael Osipov

build: Changed the Visual Studio projects warning level from 3 to 4

After squashing most of our compiler warnings, up'ed the default
warning level from 3 to 4 in order to increase the likelyhood of
catching future warnings.

IMAP: check pointer before dereferencing it

may be null in the CURLOPT_CONNECT_ONLY case

Fixes #747

.gitignore: Added new VC14 SQLite based program database files

curl_memory.h: Fixed typo in comment

From commit 7218b52c49.

spnego: Corrected some typos in comments

Corrected typos from commit ad5e9bfd5d and 6d6f9ca1d9.

memdebug: Ensure curl/curl.h is included before curl_memory.h

Follow up to commit 7db9782dd6.

upload: missing rewind call could make libcurl hang

When an upload is done, there are two places where that can be detected
and only one of them would rewind the input stream - which sometimes is
necessary for example when doing NTLM HTTP POSTs and more.

This could then end up libcurl hanging.

Figured-out-by: Isaac Boukris
Reported-by: Anatol Belski
Fixes #741

curl.h: define CURL_DID_MEMORY_FUNC_TYPEDEFS

So that we only do the extra typedefs in curl_memory.h when we really
need to and avoid double typedefs.

follow-up commit to 7218b52c49aeb1

Thanks-to: Steve Holme

curl/mprintf.h: remove support for _MPRINTF_REPLACE

The define is not in our name space and is therefore not protected by
our API promises.

It was only really used by libcurl internals but was mostly erased from
there already in 8aabbf5 (March 2015). This is supposedly the final
death blow to that define from everywhere.

As a side-effect, making sure _MPRINTF_REPLACE is gone and not used, I
made the lib tests in tests/libtest/ use curl_printf.h for its redefine
magic and then subsequently the use of sprintf() got banned in the tests
as well (as it is in libcurl internals) and I then replaced them all
with snprintf().

In the unlikely event that any users is actually using this define and
gets sad by this change, it is very easily copied to the user's own
code.

curl_memory.h: avoid the curl/curl.h include

Discussed in #743

url: Corrected get protocol family for FTP and LDAP

Fixed copy/paste error from commit a5aec58726.

strerror: don't bit shift a signed integer

Bug: https://github.com/curl/curl/issues/744
Reported-by: Alexis La Goutte

http2: more documentation for prior knowledge

http2: support "prior knowledge", no upgrade from HTTP/1.1

Supports HTTP/2 over clear TCP

- Optimize switching to HTTP/2 by removing calls to init and setup
before switching. Switching will eventually call setup and setup calls
init.

- Supports new version to “force” the use of HTTP/2 over clean TCP

- Add common line parameter “--http2-prior-knowledge” to the Curl
  command line tool.

imap: remove duplicated function

The list and search response functions were identical! Merged into one
now. Detected by PVS Studio.

Reported-by: Alexis La Goutte

SOCKS5_gssapi_negotiate: don't assume little-endian ints

The code copied one byte from a 32bit integer, which works fine as long
as the byte order is the same. Not a fine assumption. Reported by PVS
Studio.

Reported-by: Alexis La Goutte

http: remove ((expression)) double parentheses

Curl_add_buffer_send: avoid possible NULL dereference

... as we check for a NULL pointer below, we move the derefence to after
the check. Detected by PVS Studio.

Reported-by: Alexis La Goutte

file: remove duplicate checks of the same variable

... as it doesn't change in between. Deteced by PVS Studio.

Reported-by: Alexis La Goutte

openssl: Fix compilation warnings

When compiling with OpenSSL 1.1.0 (so that the HAVE_X509_GET0_SIGNATURE
&& HAVE_X509_GET0_EXTENSIONS pre-processor block is active), Visual C++
14 complains:

warning C4701: potentially uninitialized local variable 'palg' used
warning C4701: potentially uninitialized local variable 'psig' used

multi: turn Curl_done into file local multi_done

... as it now is used by multi.c only.

multi: multi_reconnect_request is the former Curl_reconnect_request

now a file local function in multi.c

multi: move Curl_do and Curl_do_done to multi.c and make static

... called multi_do and multi_do_done as they're file local now.

wolfssl: Use ECC supported curves extension

https://github.com/wolfSSL/wolfssl/issues/366

build-wolfssl: Allow a broader range of ciphers (Visual Studio)

This is an update to the build-time options used to build wolfSSL in
Visual Studio for greater compatibility, and make it behave similar to
the way OpenSSL 1.0.2 behaves. Starting in wolfSSL v3.6.6 static ciphers
and SSLv3 are disabled by default at build time, but we can use both.

- Enable static cipher suites TLS_ECDH_ and TLS_RSA_.

- Enable SSLv3 hello. Though in libcurl we disable it by default at
runtime, we make it available so the user can manually select it if
necessary.

GSS: make Curl_gss_log_error more verbose

Also display the GSS_C_GSS_CODE (major code) when specified instead of
only GSS_C_MECH_CODE (minor code).

In addition, the old code was printing a colon twice after the prefix
and also miscalculated the length of the buffer in between calls to
gss_display_status (the length of ": " was missing).

Also, gss_buffer is not guaranteed to be NULL terminated and thus need
to restrict reading by its length.

Closes #738

build: use roffit 0.11 feature

... load file specified as argument.

http2: set correct scheme in handler structs [regression]

Since commit a5aec58 the handler schemes need to match for the
connections to be reused and for HTTP/2 multiplexing to work, reusing
connections is very important!

Closes #736

hostip.c: minor white space edit for style

TODO: use secure protocol in recently added URL

Closes #733

HTTP2.md: mention libressl and boringssl too

docs/HTTP-COOKIES: converted to markdown

HTTP2: s/polarssl/mbedtls

wolfssl: Add ALPN support

tool_operate: remove mixed declaration

This is a follow up to the previous commit.

curl: warn for --capath use if not supported by libcurl

Closes #492

TODO: 2.5 Edge-triggered sockets should work

Makefile.am: skip the scripts dir

Skipping the scripts dir is primarily done for 'make install' so that it
does not attempt to install the zsh completion script as we've not yet
found a proper way to do/run that at install time.

By leaving the script dir's Makefile in place, a user can still opt to
run make install manually in there.

Closes #620

CURLMOPT_SOCKETFUNCTION.3: describe the 'what' argument

curl_multi_socket_action.3: mark the options properly

... to make them appear as links on the html version.

RELEASE-NOTES: Synced with f0bdd72c10

http_ntlm: Renamed from curl_ntlm.[c|h]

Renamed the header and source files for this module as they are HTTP
specific and as such, they should use the naming convention as other
HTTP authentication source files do - this revert commit 260ee6b7bf.

Note: We could also rename curl_ntlm_wb.[c|h], however, the Winbind
code needs separating from the HTTP protocol and migrating into the
vauth directory, thus adding support for Winbind to the SASL based
protocols such as IMAP, POP3 and SMTP.

docs: curlinfo_filetime sftp support, new curlopt_quote "statvfs"

Closes #677

SSH: new CURLOPT_QUOTE command "statvfs"

usage: "statvfs path"
returns remote file system statistics

SSH: support CURLINFO_FILETIME

sshserver.pl: use quotes for given options

Fixed failed redirection of stderr with some options. At least on Msys2,
perl fails to redirect stderr if $value contains newline or other weird
characters.

url: don't use bad offset in tld_check_name to show error

libidn's tld_check_lz returns an error offset of the first character
that it failed to process, however that offset is not a byte offset and
may not even be in the locale encoding therefore we can't use it to show
the user the character that failed to process.

Bug: https://github.com/curl/curl/issues/731
Reported-by: Karlson2k

http_negotiate: Combine GSS-API and SSPI source files

As the GSS-API and SSPI based source files are no longer library/API
specific, following the extraction of that authentication code to the
vauth directory, combine these files rather than maintain two separate
versions.

vauth: Moved the Negotiate authentication code to the new vauth directory

Part 2 of 2 - Moved the GSS-API based Negotiate authentication code.

vauth: Moved the Negotiate authentication code to the new vauth directory

Part 1 of 2 - Moved the SSPI based Negotiate authentication code.

warnless.h: Removed spurious character from commit 696bc6b9c9

Not picked up by checksrc or Visual Studio but my own code review, this
would haven broken Intel based Unix builds - Perhaps I should learn to
type on my laptop's keyboard before committing!

schannel: Fixed compilation warning from commit f8d88a4913

warning C4244: '=': conversion from 'int' to 'unsigned short', possible
                    loss of data

warnless?: Added some integer based conversion functions

docs/TODO: Add feature request for metalink in HTTP headers

Closes #729
Closes #728

build: Corrected typos from commit 70e56939aa

vauth: Refactored function names after move to new vauth directory

Renamed all the SASL functions that moved to the new vauth directory to
include the correct module name.

vauth: Updated the copyright year after recent changes

As most of this work was performed in 2015 but not pushed until 2016
updated the copyright year to reflect the public facing changes.

vauth: Moved the OAuth 2.0 authentication code to the new vauth directory

vauth: Moved the NTLM authentication code to the new vauth directory

vauth: Moved the Kerberos V5 authentication code to the new vauth directory

digest.c: Fixed checksrc warnings

vauth: Moved the DIGEST authentication code to the new vauth directory

vauth: Moved the CRAM-MD5 authentication code to the new vauth directory

vauth: Moved the ClearText authentication code to the new vauth directory

vauth: Moved Curl_sasl_build_spn() to create the initial vauth source files

checksrc.bat: Added support for checking the new vauth directory

build: Updated all makefiles and project files for the new vauth directory

Updated the makefiles and Visual Studio project files to support moving
the authentication code to the new lib/vauth directory that was started
in commit 0d04e859e1.

schannel: Add ALPN support

Add ALPN support for schannel. This allows cURL to negotiate
HTTP/2.0 connections when built with schannel.

Closes #724

http: Minor update based on CODE_STYLE guidelines

multi: fix "Operation timed out after" timer

Use the local, reasonably updated, 'now' value when creating the message
string to output for the timeout condition.

Fixes #619

openssl: boringssl provides the same numbering as openssl

... so we don't need extra boringssl precautions for for
HAVE_ERR_REMOVE_THREAD_STATE_NOARG.

Pointed-out-by: David Benjamin

openssl: fix ERR_remove_thread_state() for boringssl/libressl

The removed arg is only done in OpenSSL

Bug: https://twitter.com/xtraemeat/status/712564874098917376

bump: work on 7.48.1

RELEASE-PROCEDURE: mention the github release tag edit

... and update the coming release dates a bit