INSTALL: Minor formatting correction in 'Legacy Windows and SSL' section

...as well as some rewording.

http: move HTTP/2 cleanup code off http_disconnect()

Otherwise it would never be called for an HTTP/2 connection, which has
its own disconnect handler.

I spotted this while debugging <https://bugzilla.redhat.com/1248389>
where the http_disconnect() handler was called on an FTP session handle
causing 'dnf' to crash.  conn->data->req.protop of type (struct FTP *)
was reinterpreted as type (struct HTTP *) which resulted in SIGSEGV in
Curl_add_buffer_free() after printing the "Connection cache is full,
closing the oldest one." message.

A previously working version of libcurl started to crash after it was
recompiled with the HTTP/2 support despite the HTTP/2 protocol was not
actually used.  This commit makes it work again although I suspect the
root cause (reinterpreting session handle data of incompatible protocol)
still has to be fixed.  Otherwise the same will happen when mixing FTP
and HTTP/2 connections and exceeding the connection cache limit.

Reported-by: Tomas Tomecek
Bug: https://bugzilla.redhat.com/1248389

ABI doc: use secure URL

ABI: remove the ascii logo

and made the indent level to 1

libcurl-multi.3: mention curl_multi_wait

... and some general rewordings to improve this docs.

Reported-by: Tim Stack
Closes #356

maketgz: Fixed some VC makefiles missing from the release tarball

VC7, VC11, VC12 and VC14 makefiles were missing from the release
tarball.

RELEASE-NOTES: Synced with 2d7e165761

build: Added VC14 project files to Makefile.am

build: Added VC14 project files

Updates to Makefile.am for the generation of the project files in
the tarball to follow.

libcurl-thread.3: Clarify CURLOPT_NOSIGNAL takes long value 1L

generate.bat: Use lower-case for commands and reserved keywords

Whilst there are no coding standards for the batch files used in curl,
most tend to use lower-case for keywords and upper-case for variables.

build: Added initial VC14 support to generate.bat

Visual Studio project files and updates to makefile.am to follow.

build: Fixed missing .opensdf files from VC10+ .gitignore files

build: Use $(ProjectName) macro for curl.exe and curld.exe filenames

This wasn't possible with the old curlsrc project filenames, but like
commit 2a615a2b64 and 11397eb6dd for libcurl use the built in Visual
Studio macros for the output filenames.

build: Renamed curl src Visual Studio project files

Following commit 957fcd9049 and in preparation for adding the VC14
project files renamed the curl source project files.

libcurl-thread.3: Revert to stricter handle wording

.. also update formatting and add WinSSL and wolfSSL to the SSL/TLS
handlers list.

libcurl-thread.3: Consolidate thread safety info

This is a new document to consolidate our thread safety information from
several documents (curl-www:features, libcurl.3, libcurl-tutorial.3).
Each document's section on multi-threading will now point to this one.

README: Corrected formatting for 'Legacy Windows and SSL' section

...as well as some wording.

build-openssl.bat: Added support for VC14

RELEASE-NOTES: synced with 0f645adc95390e8

test1902: attempt to make the test more reliable

Closes #355

comment: fix comment about adding new option support

build-openssl.bat: Show syntax if required args are missing

TODO: improve how curl works in a windows console window

Closes #322 for now

1.11 minimize dependencies with dynamicly loaded modules

Closes #349 for now

tool_operate: Fix CURLOPT_SSL_OPTIONS for builds without HTTPS

- Set CURLOPT_SSL_OPTIONS only if the tool enabled an SSL option.

Broken by me several days ago in 172b2be.
https://github.com/bagder/curl/commit/172b2be#diff-70b44ee478e58d4e1ddcf9c9a73d257b

Bug: http://curl.haxx.se/mail/lib-2015-07/0119.html
Reported-by: Dan Fandrich

configure: check if OpenSSL linking wants -ldl

To make it easier to link with static versions of OpenSSL, the configure
script now checks if -ldl is needed for linking.

Help-by: TJ Saunders

HTTP: ignore "Content-Encoding: compress"

Currently, libcurl rejects responses with "Content-Encoding: compress"
when CURLOPT_ACCEPT_ENCODING is set to "". I think that libcurl should
treat the Content-Encoding "compress" the same as other
Content-Encodings that it does not support, e.g. "bzip2". That means
just ignoring it.

openssl: work around MSVC warning

MSVC 12 complains:

lib\vtls\openssl.c(1554): warning C4701: potentially uninitialized local
variable 'verstr' used It's a false positive, but as it's normally not,
I have enabled warning-as-error for that warning.

configure: add --disable-rt option

This option disables any attempts in configure to create dependency on
stuff requiring linking to librt.so and libpthread.so, in this case this
means clock_gettime(CLOCK_MONOTONIC, &mt).

We were in need to build curl which doesn't link libpthread.so to avoid
the following bug:
https://sourceware.org/bugzilla/show_bug.cgi?id=16628.

http2: verify success of strchr() in http2_send()

Detected by Coverity.

Error: NULL_RETURNS:
lib/http2.c:1301: returned_null: "strchr" returns null (checked 103 out of 109 times).
lib/http2.c:1301: var_assigned: Assigning: "hdbuf" = null return value from "strchr".
lib/http2.c:1302: dereference: Incrementing a pointer which might be null: "hdbuf".
1300|
1301|     hdbuf = strchr(hdbuf, 0x0a);
1302|->   ++hdbuf;
1303|
1304|     authority_idx = 0;

Windows: Fix VerifyVersionInfo calls

- Fix the VerifyVersionInfo calls, which we use to test for the OS major
version, to also test for the minor version as well as the service pack
major and minor versions.

MSDN: "If you are testing the major version, you must also test the
minor version and the service pack major and minor versions."

https://msdn.microsoft.com/en-us/library/windows/desktop/ms725492.aspx

Bug: https://github.com/bagder/curl/pull/353#issuecomment-123493098
Reported-by: Marcel Raad <MarcelRaad@users.noreply.github.com>

schannel: Replace deprecated GetVersion with VerifyVersionInfo

makefile: Added support for VC14

os400: ebcdic wrappers for new functions. Upgrade ILE/RPG bindings.

libcurl: VERSIONINFO update
Addition of new procedures curl_pushheader_bynum and curl_pushheader_byname
requires VERSIONINFO updating.

http2: satisfy external references even if http2 is not compiled in.

http2: add stream != NULL checks for reliability

They should not trigger, but in case of internal problems we at least
avoid crashes this way.

symbols-in-versions: Add new CURLSSLOPT_NO_REVOKE symbol

SSL: Add an option to disable certificate revocation checks

New tool option --ssl-no-revoke.
New value CURLSSLOPT_NO_REVOKE for CURLOPT_SSL_OPTIONS.

Currently this option applies only to WinSSL where we have automatic
certificate revocation checking by default. According to the
ssl-compared chart there are other backends that have automatic checking
(NSS, wolfSSL and DarwinSSL) so we could possibly accommodate them at
some later point.

Bug: https://github.com/bagder/curl/issues/264
Reported-by: zenden2k <zenden2k@gmail.com>

runtests: Allow for spaces in curl custom path

.. also fix some typos in test's FILEFORMAT spec.

ntlm_wb: Fix theoretical memory leak

Static analysis indicated that my commit 9008f3d564 ("ntlm_wb: Fix
hard-coded limit on NTLM auth packet size") introduced a potential
memory leak on an error path, because we forget to free the buffer
before returning an error.

Fix this.

Although actually, it never happens in practice because we never *get*
here with state == NTLMSTATE_TYPE1. The state is always zero. That
might want cleaning up in a separate patch.

Reported-by: Terri Oda

strerror: Add CRYPT_E_REVOKED to SSPI error strings

libtest: call PR_Cleanup() on exit if NSPR is used

This prevents valgrind from reporting possibly lost memory that NSPR
uses for file descriptor cache and other globally allocated internal
data structures.

Reported-by: Štefan Kremeň

openssl: VMS support for SHA256

setup-vms.h: More symbols for SHA256, hacks for older VAX

openssl.h: Use OpenSSL OPENSSL_NO_SHA256 macro to allow building on VAX.

openssl.c: Use OpenSSL version checks and OPENSSL_NO_SHA256 macro to
allow building on VAX and 64 bit VMS.

examples: Fix typo in multi-single.c

http2: Fix memory leak in push header array

test2041: fixed line endings in protocol part

cyassl: fixed mismatched sha256sum function prototype

SSL: Pinned public key hash support

examples: provide <DESC> sections

OpenVMS: VMS Software, Inc now the supplier.

setup-vms.h: Symbol case fixups submitted by Michael Steve

build_gnv_curl_pcsi_desc.com: VSI aka as VMS Software, is now the
supplier of new versions of VMS.  The install kit needs to accept
VSI as a producer.

multi: Move http2 push function declarations to header end

This change necessary for binary compatibility.

Prior to this change test 1135 failed due to the order of functions.

symbols-in-versions: Add new http2 push symbols

Prior to this change test 1119 failed due to the missing symbols.

RELEASE-NOTES: synced with e6749055d653

configure: disable libidn by default

For security reasons, until there is a fix.

Bug: http://curl.haxx.se/mail/lib-2015-06/0143.html
Reported-by: Gustavo Grieco, Feist Josselin

SSL-PROBLEMS: mention WinSSL problems in WinXP

CODE_OF_CONDUCT.md: added

Just to underscore how we treat each other in this project. Nothing new
really, but could be useful for newcomers and outsiders to see our
values.

tool_header_cb: fflush the header stream

Flush the header stream when -D is used so that they are sent off
earlier.

Bug: https://github.com/bagder/curl/issues/324
Reported-by: Cédric Connes

tests: Distribute CMakeLists.txt files in subdirectories

CURLOPT_FAILONERROR.3: mention that it closes the connection

Reported-by: bemoody
Bug: https://github.com/bagder/curl/issues/325

curl_multi_setopt.3: alpha sort the options

curl_multi_setopt.3: add the new push options

http2: Use nghttp2 library error code for error return value

http2: Harden header validation for curl_pushheader_byname

Since we do prefix match using given header by application code
against header name pair in format "NAME:VALUE", and VALUE part can
contain ":", we have to careful about existence of ":" in header
parameter.  ":" should be allowed to match HTTP/2 pseudo-header field,
and other use of ":" in header must be treated as error, and
curl_pushheader_byname should return NULL.  This commit implements
this behaviour.

CURLMOPT_PUSHFUNCTION.3: Remove unused variable

CURLMOPT_PUSHFUNCTION.3: added example

http2: curl_pushheader_byname now takes a const char *

http2-serverpush.c: example code

http2: free all header memory after the push callback

http2: init the pushed transfer properly

http2: fixed the header accessor functions for the push callback

http2: setup the new pushed stream properly

http2: initial implementation of the push callback

http2: initial HTTP/2 server push types/docs

test1531: verify POSTFIELDSIZE set after add_handle

Following the fix made in 903b6e05565bf.

pretransfer: init state.infilesize here, not in add_handle

... to properly support that options are set to the handle after it is
added to the multi handle.

Bug: http://curl.haxx.se/mail/lib-2015-06/0122.html
Reported-by: Stefan Bühler

tool_help: fix --tlsv1 help text to use >= for TLSv1

INSTALL: Advise use of non-native SSL for Windows <= XP

Advise that WinSSL in versions <= XP will not be able to connect to
servers that no longer support the legacy handshakes and algorithms used
by those versions, and to use an alternate backend like OpenSSL instead.

Bug: https://github.com/bagder/curl/issues/253
Reported-by: zenden2k <zenden2k@gmail.com>

curl_easy_setopt.3: restore contents removed by mistake

... in commit curl-7_43_0-18-g570076e

curl_easy_setopt.3: mention CURLOPT_PIPEWAIT

cookie: Fix bug in export if any-domain cookie is present

In 3013bb6 I had changed cookie export to ignore any-domain cookies,
however the logic I used to do so was incorrect, and would lead to a
busy loop in the case of exporting a cookie list that contained
any-domain cookies. The result of that is worse though, because in that
case the other cookies would not be written resulting in an empty file
once the application is terminated to stop the busy loop.

FTP: fixed compiling with --disable-proxy, broken in b88f980a

tool: always provide negotiate/kerberos options

libcurl can still be built with it, even if the tool is not. Maintain
independence!

TODO: Support IDNA2008

Makefile.m32: add support for CURL_LDFLAG_EXTRAS

It is similar to existing CURL_CFLAG_EXTRAS, but for
extra linker option.

RTSP: removed another piece of dead code

Coverity CID 1306668

openssl: fix use of uninitialized buffer

Make sure that the error buffer is always initialized and simplify the
use of it to make the logic easier.

Bug: https://github.com/bagder/curl/issues/318
Reported-by: sneis

examples: more descriptions

examples: add descriptions with <DESC>

Using this fixed format for example descriptions, we can generate a
better list on the web site.

libcurl-errors.3: fix typo

curl_easy_setopt.3: option order doesn't matter

openssl: fix build with BoringSSL

OPENSSL_load_builtin_modules does not exist in BoringSSL. Regression
from cae43a1

openssl: Fix build with openssl < ~ 0.9.8f

The symbol SSL3_MT_NEWSESSION_TICKET appears to have been introduced at
around openssl 0.9.8f, and the use of it in lib/vtls/openssl.c breaks
builds with older openssls (certainly with 0.9.8b, which is the latest
older version I have to try with).

FTP: do the HTTP CONNECT for data connection blocking

** WORK-AROUND **

The introduced non-blocking general behaviour for Curl_proxyCONNECT()
didn't work for the data connection establishment unless it was very
fast. The newly introduced function argument makes it operate in a more
blocking manner, more like it used to work in the past. This blocking
approach is only used when the FTP data connecting through HTTP proxy.

Blocking like this is bad. A better fix would make it work more
asynchronously.

Bug: https://github.com/bagder/curl/issues/278

bump: start the journey toward 7.44.0

CURLOPT_ERRORBUFFER.3: Fix example, escape backslashes

CURLOPT_ERRORBUFFER.3: Improve example

RELEASE-NOTES: 7.43.0 release

THANKS: updated with 7.43.0 names