configure: don't specify .lib for libs on windows

Another follow up for crypt32.lib linking with winssl

configure: fix winssl LIBS change typo

follow-up from 120bf29e

TODO: "TCP Fast Open" is done, add monitor pool connections

configure: add crypt32.lib for winssl builds

Necessary since 6cabd78531f

Makefile.vc: link with crypt32.lib for winssl builds

Necessary since 6cabd78531f

Fixes #853

VC: Add crypt32.lib to Visual Sudio project template files

Closes #854

vc: fix the build for schannel certinfo support

Broken since 6cabd785, which adds use of the Curl_extract_certinfo
function from the x509asn1.c file.

typedefs: use the full structs in internal code...

... and save the typedef'ed names for headers and external APIs.

internals: rename the SessionHandle struct to Curl_easy

headers: forward declare CURL, CURLM and CURLSH as structs

Instead of typedef'ing to void, typedef to their corresponding actual
struct names to allow compilers to type-check.

Assisted-by: Reinhard Max

vtls: Only call add/getsession if session id is enabled

Prior to this change we called Curl_ssl_getsessionid and
Curl_ssl_addsessionid regardless of whether session ID reusing was
enabled. According to comments that is in case session ID reuse was
disabled but then later enabled.

The old way was not intuitive and probably not something users expected.
When a user disables session ID caching I'd guess they don't expect the
session ID to be cached anyway in case the caching is later enabled.

curl.1: the used progress meter suffix is k in lower case

Closes #883

cmake: now using BUILD_TESTING=ON/OFF

CMake build now using BUILD_TESTING=ON/OFF (default is OFF) to build
tests and enabling CTest integration. Options BUILD_CURL_TESTS and
BUILD_DASHBOARD_REPORTS was removed.

Closes #882

Reviewed-by: Brad King

cleanup: fix method names in code comments

Closes #887

curl-compilers.m4: improve detection of GCC's -fvisibility= flag

Some builds of GCC produce output on both stdout and stderr when --help
--verbose is used.  The 2>&1 redirection caused them to be arbitrarily
interleaved with each other because of stream buffering.  Consequently,
grep failed to match the fvisibility= string in the mixed output, even
though the string was present in GCC's standard output.

This led to silently disabling symbol hiding in some builds of curl.

tests: fix the HTTP/2 tests

The HTTP/2 tests brought with commit bf05606ef1f were using the internal
name 'http2' for the HTTP/2 server, while in fact that name was already
used for the second instance of the HTTP server. This made tests using
the second instance (like test 2050) fail after a HTTP/2 test had run.

The server is now known as HTTP/2 internally and within the <server>
section in test cases. 1700, 1701 and 1702 were updated accordingly.

openssl: use more 'const' to fix build warnings with 1.1.0 branch

curl.1: missed 'T' in the progress unit suffixes

curl.1: mention the unix for the progress meter

os400: add new definitions to ILE/RPG binding.

openssl: fix cert check with non-DNS name fields present

Regression introduced in 5f5b62635 (released in 7.48.0)

Reported-by: Fabian Ruff
Fixes #875

axtls: Use Curl_wait_ms instead of the less-portable usleep

axtls: Fixed compile after compile 31c521b0

tests: Added HTTP proxy keywords to tests 1141 & 1142

cmake: Fix build with winldap

Bug: https://github.com/curl/curl/pull/874
Reported-by: Sergei Nikulov

CURLOPT_POSTFIELDS.3: Clarify what happens when set empty

When CURLOPT_POSTFIELDS is set to an empty string libcurl will send a
zero-byte POST. Prior to this change it was documented as sending data
from the read callback.

This also changes the wording of what happens when empty or NULL so that
it's hopefully easier to understand for people whose primary language
isn't English.

Bug: https://github.com/curl/curl/issues/862
Reported-by: Askar Safin

curl_multi_socket_action.3: Fix rewording

- Remove some erroneous text.

Closes https://github.com/curl/curl/pull/865

resolve: enable protocol family logic for synthesized IPv6

- Enable protocol family logic for IPv6 resolves even when support
for synthesized addresses is enabled.

This is a follow up to the parent commit that added support for
synthesized IPv6 addresses from IPv4 on iOS/OS X. The protocol family
logic needed for IPv6 was inadvertently excluded if support for
synthesized addresses was enabled.

Bug: https://github.com/curl/curl/issues/863
Ref: https://github.com/curl/curl/pull/866
Ref: https://github.com/curl/curl/pull/867

resolve: add support for IPv6 DNS64/NAT64 Networks on OS X + iOS

Use getaddrinfo() to resolve the IPv4 address literal on iOS/Mac OS X.
If the current network interface doesn’t support IPv4, but supports
IPv6, NAT64, and DNS64.

Closes #866
Fixes #863

tests: two more HTTP/2 tests

1701 and 1702

runtests: don't display logs when http2 server fails to start

runtests: make stripfile work on stdout as well

... and have test 1700 use that to strip out the nghttpx server: headers

http2-tests: test1700 is the first real HTTP/2 test

It requires that 'nghttpx' is in the PATH, and it will run the tests
using nghttpx as a front-end proxy in front of the standard HTTP/1 test
server. This uses HTTP/2 over plain TCP.

If you like me have nghttpx installed in a custom path, you can run test 1700
like this:

$ PATH=$PATH:$HOME/build-nghttp2/bin/ ./runtests.pl 1700

RELEASE-NOTES: synced with 34855feeb4c299

schannel: Disable ALPN on Windows < 8.1

Calling QueryContextAttributes with SECPKG_ATTR_APPLICATION_PROTOCOL
fails on Windows < 8.1 so we need to disable ALPN on these OS versions.

Inspiration provide by: Daniel Seither

Closes #848
Fixes #840

checksrc: Add LoadLibrary to the banned functions list

LoadLibrary was supplanted by Curl_load_library for security
reasons in 6df916d.

http: Fix HTTP/2 connection reuse

- Change the parser to not require a minor version for HTTP/2.

HTTP/2 connection reuse broke when we changed from HTTP/2.0 to HTTP/2
in 8243a95 because the parser still expected a minor version.

Bug: https://github.com/curl/curl/issues/855
Reported-by: Andrew Robbins, Frank Gevaerts

connect.c: Fixed compilation warning from commit 332e8d6164

connect.c:952:5: warning: suggest explicit braces to avoid ambiguous 'else'

win32: Used centralised verify windows version function

Closes #845

win32: Added verify windows version functionality

win32: Introduced centralised verify windows version function

tool_urlglob: fix off-by-one error in glob_parse()

... causing SIGSEGV while parsing URL with too many globs.
Minimal example:

$ curl $(for i in $(seq 101); do printf '{a}'; done)

Reported-by: Romain Coltel
Bug: https://bugzilla.redhat.com/1340757

libcurl-multi.3: fix small typo

Closes #850

makefile.m32: add crypt32 for winssl builds

Dependency added by 6cabd78

Closes #849

vtls: fix ssl session cache race condition

Sessionid cache management is inseparable from managing individual
session lifetimes. E.g. for reference-counted sessions (like those in
SChannel and OpenSSL engines) every session addition and removal
should be accompanied with refcount increment and decrement
respectively. Failing to do so synchronously leads to a race condition
that causes symptoms like use-after-free and memory corruption.
This commit:
 - makes existing session cache locking explicit, thus allowing
   individual engines to manage lock's scope.
 - fixes OpenSSL and SChannel engines by putting refcount management
   inside this lock's scope in relevant places.
 - adds these explicit locking calls to other engines that use
   sessionid cache to accommodate for this change. Note, however,
   that it is unknown whether any of these engines could also have
   this race.

Bug: https://github.com/curl/curl/issues/815
Fixes #815
Closes #847

schannel: add CURLOPT_CERTINFO support

Closes #822

RELEASE-NOTES: synced with 142ee9fa15002315

openssl: rename the private SSL_strerror

... to make it not look like an OpenSSL function

openssl: Use correct buffer sizes for error messages

Closes #844

curl: fix -q [regression]

This broke in 7.49.0 with commit e200034425a7625

Fixes #842

URL parser: allow URLs to use one, two or three slashes

Mostly in order to support broken web sites that redirect to broken URLs
that are accepted by browsers.

Browsers are typically even more leniant than this as the WHATWG URL
spec they should allow an _infinite_ amount. I tested 8000 slashes with
Firefox and it just worked.

Added test case 1141, 1142 and 1143 to verify the new parser.

Closes #791

cmake: Added missing mbedTLS support

Closes #837

mbedtls: removed unused variables

Closes #838

http: add CURLINFO_HTTP_VERSION and %{http_version}

Adds access to the effectively used http version to both libcurl and
curl.

Closes #799

bump: start the journey toward 7.50.0

openssl: fix build with OPENSSL_NO_COMP

With OPENSSL_NO_COMP defined, there is no function
SSL_COMP_free_compression_methods

Closes #836

memdebug: fix MSVC crash with -DMEMDEBUG_LOG_SYNC

Fixes #828

README.md: polish

Closes #834

RELEASE-NOTES: fix vuln link

RELEASE-NOTES: 7.49.1

loadlibrary: Only load system DLLs from the system directory

Inspiration provided by: Daniel Stenberg and Ray Satiro

Bug: https://curl.haxx.se/docs/adv_20160530.html

Ref: Windows DLL hijacking with curl, CVE-2016-4802

ssh: fix version number check typo

curl_share_setopt.3: Add min ver needed for ssl session lock

Bug: https://github.com/curl/curl/issues/826
Reported-by: Michael Wallner

ssh: fix build for libssh2 before 1.2.6

The statvfs functionality was added to libssh2 in that version, so we
switch off that functionality when built with older libraries.

Fixes #831

mbedtls: fix includes so snprintf() works

Regression from the previous *printf() rearrangements, this file missed to
include the correct header to make sure snprintf() works universally.

Reported-by: Moti Avrahami
Bug: https://curl.haxx.se/mail/lib-2016-05/0196.html

checksrc.pl: Added variants of strcat() & strncat() to banned function list

Added support for checking the tchar, unicode and mbcs variants of
strcat() and strncat() in the banned function list.

smtp: minor ident (white space) fixes

THANKS: updated after script fixes

Now giving credit properly to github user names, fixed some UTF-8 issues
and added names discovered when contrithanks was improved.

THANKS-filter: more name cleanups

contrithanks.sh: exclude existing names case insensitively

contrithanks.sh: use same grep pattern and -a flag as contributors.sh

contributors.sh: better grep pattern, use grep -a

THANKS-filter: fix more names

contrithanks.sh: do the same github fix as contributors.sh

from 1577bfa35ba

contributors: Show GitHub username if real name unknown

Prior to this change if a GitHub contributor's real name was unknown
they would be omitted from the list.

Bug: https://github.com/curl/curl/issues/824

RELEASE-NOTES: synced with 3caaeffbe8ded4

openssl: cleanup must free compression methods

- Free compression methods if OpenSSL 1.0.2 to avoid a memory leak.

Bug: https://github.com/curl/curl/issues/817
Reported-by: jveazey@users.noreply.github.com

curl_multibyte: fix compiler error

While compiling lib/curl_multibyte.c with '-DUSE_WIN32_IDN' etc. I was
getting:

f:\mingw32\src\inet\curl\lib\memdebug.h(38): error C2054: expected '('
to follow 'CURL_EXTERN'

f:\mingw32\src\inet\curl\lib\memdebug.h(38): error C2085:
'curl_domalloc': not in formal parameter list

THANKS-filter: make Jan-E get proper credit

winbuild/Makefile.vc: Fix check on SSL, MBEDTLS, WINSSL exclusivity

Closes #818

libcurl.m4: Avoid obsolete warning

Closes #821

CURLOPT_CONNECT_TO.3: user must not free the list prematurely

The connect-to list isn't copied so as long as the handle may be used
for a transfer the list must be valid.

Bug: https://github.com/curl/curl/pull/819
Reported-by: Michael Kaufmann

RELEASE-NOTES: synced with 48114a8634242c

openssl: ERR_remove_thread_state() is deprecated in latest 1.1.0

See OpenSSL commit 21e001747d4a

http2: use HTTP/2 in the HTTP/1.1-alike header

... when generating them, not "2.0" as the protocol is called just
HTTP/2 and nothing else.

dist: include curl_multi_socket_all.3

Closes https://github.com/curl/curl/pull/816

bump: Start work on 7.49.1

curlbuild.h.dist: check __LP64__ as well to fix MIPS build

The preprocessor check that sets up the 32bit defines for non-configure
builds didn't work properly for MIPS systems as __mips__ is defined for
both 32bit and 64bit. Now __LP64__ is also checked and indicates 64bit.

Reported-by: Tomas Jakobsson
Fixes #813

schannel: fix compile break with MSVC XP toolset

For the Windows XP toolset of Visual C++ 2013/2015, the old Windows SDK
7.1 is used. In this case, _USING_V110_SDK71_ is defined.

Closes #812

dist: include CHECKSRC.md

Reported-by: Paul Howarth
Bug: https://curl.haxx.se/mail/lib-2016-05/0116.html

test/Makefile.am: include manpage-scan.pl and nroff-scan.pl in dist

Reported-by: Ray Satiro
Bug: https://curl.haxx.se/mail/lib-2016-05/0113.html

THANKS: 24 new names from 7.49.0 release notes

RELEASE-NOTES: 7.49.0

mbedtls/polarssl: set "hostname" unconditionally

...as otherwise the TLS libs will skip the CN/SAN check and just allow
connection to any server. curl previously skipped this function when SNI
wasn't used or when connecting to an IP address specified host.

CVE-2016-3739

Bug: https://curl.haxx.se/docs/adv_20160518A.html
Reported-by: Moti Avrahami

CURLOPT_RESOLVE.3: fix typo

Closes #811

docs: CURLOPT_RESOLVE overrides CURLOPT_IPRESOLVE

KNOWN_BUGS: GnuTLS backend skips really long certificate fields

Closes #762

CURLOPT_HTTPPOST.3: the data needs to be around while in use

openssl: get_cert_chain: fix NULL dereference

CID 1361815: Explicit null dereferenced (FORWARD_NULL)

openssl: get_cert_chain: avoid NULL dereference

CID 1361811: Explicit null dereferenced (FORWARD_NULL)