THANKS: 13 new contributors from 7.52.0

RELEASE-NOTES: 7.52.0

ssh: inhibit coverity warning with (void)

CID 1397391 (#1 of 1): Unchecked return value (CHECKED_RETURN)

Curl_recv_has_postponed_data: silence compiler warnings

Follow-up to d00f2a8f2

tests: checksrc compliance

http_proxy: Fix proxy CONNECT hang on pending data

- Check for pending data before waiting on the socket.

Bug: https://github.com/curl/curl/issues/1156
Reported-by: Adam Langley

cmdline-opts/tlsv1.d: rephrased

schannel: fix wildcard cert name validation on Win CE

Fixes a few issues in manual wildcard cert name validation in
schannel support code for Win32 CE:
- when comparing the wildcard name to the hostname, the wildcard
  character was removed from the cert name and the hostname
  was checked to see if it ended with the modified cert name.
  This allowed cert names like *.com to match the connection
  hostname. This violates recommendations from RFC 6125.
- when the wildcard name in the certificate is longer than the
  connection hostname, a buffer overread of the connection
  hostname buffer would occur during the comparison of the
  certificate name and the connection hostname.

printf: fix floating point buffer overflow issues

... and add a bunch of floating point printf tests

config-amigaos.h: (embarrassed) made the line shorter

config-amigaos.h: fix bug report email reference

RELEASE-NOTES: synced with 4517158abfeba

CIPHERS.md: backtick the names to show underscores fine

form-string.d: fix format mistake

and regenerated curl.1

Reported-by: Gisle Vanem

openssl: simplify expression in Curl_ossl_version

curl_easy_recv: Improve documentation and example program

Follow-up to 82245ea: Fix the example program sendrecv.c (handle
CURLE_AGAIN, handle incomplete send). Improve the documentation
for curl_easy_recv() and curl_easy_send().

Reviewed-by: Frank Meier
Assisted-by: Jay Satiro
See https://github.com/curl/curl/pull/1134

Curl_getconnectinfo: avoid checking if the connection is closed

It doesn't benefit us much as the connection could get closed at
any time, and also by checking we lose the ability to determine
if the socket was closed by reading zero bytes.

Reported-by: Michael Kaufmann
Closes https://github.com/curl/curl/pull/1134

CIPHERS.md: attempt to document TLS cipher names

As the official docs seems really hard to keep track of and link to over
time

curl.1: generated after 6cce4dbf830

cmdline-opts/post30X.d: fix the RFC references

curl.1: regenerated

Fixed trailing whitespace and numerous formatting glitches

cmdline-opts: formatting fixes

curl_easy_setopt.3: removed CURLOPT_SOCKS_PROXYTYPE

tool_getparam.c: make comments use the up-to-date option names

manpage-scan.pl: allow deprecated options to get removed from curl.1

--krb4, --ftp-ssl and --ftp-ssl-reqd no longer need to be documented in the
man page

cmdline-opts/gen.pl: trim off trailing spaces

cmdline-opts/proxy-tlsuser.d: remove trailing .d

curl_easy_setopt.3: CURLOPT_PRE_PROXY instead of CURLOPT_SOCKS_PROXY

symbols: removed two, added one

cmdline-opts: include the man page split up files in the dist

curl.1: generated with gen.pl

This is the first time we replace the manually edited curt.1 with the
generated one created by gen.pl and the individual option documentation
pages.

Do not edit this file, edit the individual pages and regenerate this
output.

This file will be generated by the build system soon and then removed
from git.

cmdline-opts: added some missing info

CURLINFO_SSL_VERIFYRESULT.3: language

HTTPS-PROXY docs: update/polish

cmdline-opts/page-header: mention it is generated

... to avoid people from trying to edit the pending curl.1 version that
gets generated by gen.pl

preproxy: renamed what was added as SOCKS_PROXY

CURLOPT_SOCKS_PROXY -> CURLOPT_PRE_PROXY

Added the corresponding --preroxy command line option. Sets a SOCKS
proxy to connect to _before_ connecting to a HTTP(S) proxy.

curl: normal socks proxies still use CURLOPT_PROXY

... the newly introduced CURLOPT_SOCKS_PROXY is special and should be
asked for specially. (Needs new code.)

Unified proxy type to a single variable in the config struct.

CURLOPT_SOCKS_PROXYTYPE: removed

This was added as part of the SOCKS+HTTPS proxy merge but there's no
need to support this as we prefer to have the protocol specified as a
prefix instead.

curl_multi_socket.3: fix typo

checksrc: warn for assignments within if() expressions

... they're already frowned upon in our source code style guide, this
now enforces the rule harder.

checksrc: stricter no-space-before-paren enforcement

In order to make the code style more uniform everywhere

ISSUE_TEMPLATE: try mentioning known bugs/todo in new issue template

RELEASE-NOTES: synced with 71a55534fa6

openssl: don't use OpenSSL's ERR_PACK.

ERR_PACK is an internal detail of OpenSSL. Also, when using it, a
function name must be specified which is overly specific: the test will
break whenever OpenSSL internally change things so that a different
function creates the error.

Closes #1157

test2032: Mark test as flaky

libcurl-multi.3: typo

Closes https://github.com/curl/curl/pull/1153

test1281: added http as a required feature

curl: support zero-length argument strings in config files

... like 'user-agent = ""'

Adjusted test 71 to verify.

http_proxy: simplify CONNECT response reading

Since it now reads responses one byte a time, a loop could be removed
and it is no longer limited to get the whole response within 16K, it is
now instead only limited to 16K maximum header line lengths.

tests: fix CONNECT test cases to be more strict

... as they broke with the cleaned up CONNECT handling

CONNECT: read responses one byte at a time

... so that it doesn't read data that is actually coming from the
remote. 2xx responses have no body from the proxy, that data is from the
peer.

Fixes #1132

CONNECT: reject TE or CL in 2xx responses

A server MUST NOT send any Transfer-Encoding or Content-Length header
fields in a 2xx (Successful) response to CONNECT. (RFC 7231 section
4.3.6)

Also fixes the three test cases that did this.

URL parser: reject non-numerical port numbers

Test 1281 added to verify

runtests: made Servers: output be more consistent by removing OFF

cyassl: fixed typo introduced in 4f8b1774

CURLOPT_CONNECT_TO: Skip non-matching "connect-to" entries properly

If a port number in a "connect-to" entry does not match, skip this
entry instead of connecting to port 0.

If a port number in a "connect-to" entry matches, use this entry
and look no further.

Reported-by: Jay Satiro
Assisted-by: Jay Satiro, Daniel Stenberg
Closes #1148

BUGS: describe bug handling process

RELEASE-NOTES: synced with 19613fb3

http2: check nghttp2_session_set_local_window_size exists

The function only exists since nghttp2 1.12.0.

Bug: https://github.com/curl/curl/commit/a4d8888#commitcomment-19985676
Reported-by: Michael Kaufmann

http2: Fix crashes when parent stream gets aborted

Closes #1125

cmdline-docs: more options converted and fixed

Now all options are in the new system.

gen: include footer in mainpage output

lib1536: checksrc compliance

cmdline-opts: more command line options documented

Moved over to the new format

curl: remove --proxy-ssl* options

There's mostly likely no need to allow setting SSLv2/3 version for HTTPS
proxy. Those protocols are insecure by design and deprecated.

CURLOPT_PROXY_*.3: polished some proxy option man pages

os400: support CURLOPT_PROXY_PINNEDPUBLICKEY

Also define it in ILE/RPG binding.

curl_version_info: add CURL_VERSION_HTTPS_PROXY

Closes #1142

tests: Add some testcases for recent new features.

Add missing tests for CURLINFO_SCHEME, CURLINFO_PROTOCOL, %{scheme},
and %{http_version}

closes #1143

curl_easy_reset: clear info for CULRINFO_PROTOCOL and CURLINFO_SCHEME

CURLOPT_PROXY_CAINFO.3: clarify proxy use

CURLOPT_PROXY_CRLFILE.3: clarify https proxy and availability

curl_easy_setopt.3: add CURLOPT_PROXY_PINNEDPUBLICKEY

Follow-up to 4f8b17743d7c55a

docs: include all opts man pages in dist

Sorted the lists too.

... and include the new ones in the PDF and HTML generation targets

HTTPS Proxy: Implement CURLOPT_PROXY_PINNEDPUBLICKEY

url: proxy: Use 443 as default port for https proxies

TODO: removed "HTTPS proxy"

winbuild: add config option ENABLE_NGHTTP2

Closes #1141

tool_urlglob: Improve sanity check in glob_range

Prior to this change we depended on errno if strtol could not perform a
conversion. POSIX says EINVAL *may* be set. Some implementations like
Microsoft's will not set it if there's no conversion.

Ref: https://github.com/curl/curl/commit/ee4f7660#commitcomment-19658189

tool_help: Change description for --retry-connrefused

Ref: https://github.com/curl/curl/pull/1064#issuecomment-260052409

os400: sync ILE/RPG binding

test1135: Fix curl_easy_duphandle prototype for code style

Follow-up to dbadaeb which changed the style.

x509asn1: Restore the parameter check in Curl_getASN1Element

- Restore the removed parts of the parameter check.

Follow-up to 945f60e which altered the parameter check.

RELEASE-NOTES: update option counters

add CURLINFO_SCHEME, CURLINFO_PROTOCOL, and %{scheme}

Adds access to the effectively used protocol/scheme to both libcurl and
curl, both in string and numeric (CURLPROTO_*) form.

Note that the string form will be uppercase, as it is just the internal
string.

As these strings are declared internally as const, and all other strings
returned by curl_easy_getinfo() are de-facto const as well, string
handling in getinfo.c got const-ified.

Closes #1137

RELEASE-NOTES: synced with 63198a4750aeb

curl.1: the new --proxy options ship in 7.52.0

checksrc: move open braces to comply with function declaration style

checksrc: detect wrongly placed open braces in func declarations

checksrc: white space edits to comply to stricter checksrc

checksrc: verify ASTERISKNOSPACE

Detects (char*) and 'char*foo' uses.

checksrc: code style: use 'char *name' style

checksrc: add ASTERISKSPACE

Verifies a 'char *name' style, with no space after the asterisk.

openssl: remove dead code

Coverity CID 1394666

HTTPS-proxy: fixed mbedtls and polishing

darwinssl: adopted to the HTTPS proxy changes

It builds and runs all test cases. No adaptations for actual HTTPS proxy
support has been made.

gtls: fix indent to silence compiler warning

vtls/gtls.c: In function ‘Curl_gtls_data_pending’:
vtls/gtls.c:1429:3: error: this ‘if’ clause does not guard... [-Werror=misleading-indentation]
   if(conn->proxy_ssl[connindex].session &&
      ^~
      vtls/gtls.c:1433:5: note: ...this statement, but the latter is misleadingly indented as if it is guarded by the ‘if’
           return res;

mbedtls: Fix compile errors

proxy: Support HTTPS proxy and SOCKS+HTTP(s)

* HTTPS proxies:

An HTTPS proxy receives all transactions over an SSL/TLS connection.
Once a secure connection with the proxy is established, the user agent
uses the proxy as usual, including sending CONNECT requests to instruct
the proxy to establish a [usually secure] TCP tunnel with an origin
server. HTTPS proxies protect nearly all aspects of user-proxy
communications as opposed to HTTP proxies that receive all requests
(including CONNECT requests) in vulnerable clear text.

With HTTPS proxies, it is possible to have two concurrent _nested_
SSL/TLS sessions: the "outer" one between the user agent and the proxy
and the "inner" one between the user agent and the origin server
(through the proxy). This change adds supports for such nested sessions
as well.

A secure connection with a proxy requires its own set of the usual SSL
options (their actual descriptions differ and need polishing, see TODO):

  --proxy-cacert FILE        CA certificate to verify peer against
  --proxy-capath DIR         CA directory to verify peer against
  --proxy-cert CERT[:PASSWD] Client certificate file and password
  --proxy-cert-type TYPE     Certificate file type (DER/PEM/ENG)
  --proxy-ciphers LIST       SSL ciphers to use
  --proxy-crlfile FILE       Get a CRL list in PEM format from the file
  --proxy-insecure           Allow connections to proxies with bad certs
  --proxy-key KEY            Private key file name
  --proxy-key-type TYPE      Private key file type (DER/PEM/ENG)
  --proxy-pass PASS          Pass phrase for the private key
  --proxy-ssl-allow-beast    Allow security flaw to improve interop
  --proxy-sslv2              Use SSLv2
  --proxy-sslv3              Use SSLv3
  --proxy-tlsv1              Use TLSv1
  --proxy-tlsuser USER       TLS username
  --proxy-tlspassword STRING TLS password
  --proxy-tlsauthtype STRING TLS authentication type (default SRP)

All --proxy-foo options are independent from their --foo counterparts,
except --proxy-crlfile which defaults to --crlfile and --proxy-capath
which defaults to --capath.

Curl now also supports %{proxy_ssl_verify_result} --write-out variable,
similar to the existing %{ssl_verify_result} variable.

Supported backends: OpenSSL, GnuTLS, and NSS.

* A SOCKS proxy + HTTP/HTTPS proxy combination:

If both --socks* and --proxy options are given, Curl first connects to
the SOCKS proxy and then connects (through SOCKS) to the HTTP or HTTPS
proxy.

TODO: Update documentation for the new APIs and --proxy-* options.
Look for "Added in 7.XXX" marks.

Declare endian read functions argument as a const pointer.
This is done for all functions of the form Curl_read[136][624]_[lb]e.