quote.d: asterisk prefix works for SFTP as well

Reported-by: Ben Voris
Fixes #4017
Closes #4019

multi: fix the transfer hashes in the socket hash entries

- The transfer hashes weren't using the correct keys so removing entries
  failed.

- Simplified the iteration logic over transfers sharing the same socket and
  they now simply are set to expire and thus get handled in the "regular"
  timer loop instead.

Reported-by: Tom van der Woerdt
Fixes #4012
Closes #4014

url: Fix CURLOPT_MAXAGE_CONN time comparison

Old connections are meant to expire from the connection cache after
CURLOPT_MAXAGE_CONN seconds. However, they actually expire after 1000x
that value. This occurs because a time value measured in milliseconds is
accidentally divided by 1M instead of by 1,000.

Closes https://github.com/curl/curl/pull/4013

test1165: verify that CURL_DISABLE_ symbols are in sync

between configure.ac and source code. They should be possible to switch
on/off in configure AND be used in source code.

configure: remove CURL_DISABLE_TLS_SRP

It isn't used by code so stop providing the define.

Closes #4010

Revert "cmake: add SMB to list of disabled protocols if HTTP_ONLY is specified"

This reverts commit 36738caeb78603ce24e3ea089a167b8c216fb938.

Apparently several of the appveyor windows builds broke.

cmake: add SMB to list of disabled protocols if HTTP_ONLY is specified

Reviewed-by: Jakub Zakrzewski
Closes #3770

RELEASE-NOTES: synced

http2: remove CURL_DISABLE_TYPECHECK define

... in http2-less builds as it served no use.

configure: more --disable switches to toggle off individual features

... actual support in the code for disabling these has already landed.

Closes #4009

wolfssl: fix key pinning build error

follow-up from deb9462ff2de8

CURLMOPT_SOCKETFUNCTION.3: clarified

Moved away the callback explanation from curl_multi_socket_action.3 and
expanded it somewhat.

Closes #4006

wolfssl: fixup for SNI use

follow-up from deb9462ff2de8

Closes #4007

CURLOPT_CAINFO.3: polished wording

Clarify the functionality when built to use Schannel and Secure
Transport and stop calling it the "recommended" or "preferred" way and
instead rather call it the default.

Removed the reference to the ssl comparison table as it isn't necessary.

Reported-by: Richard Alcock
Bug: https://curl.haxx.se/mail/lib-2019-06/0019.html
Closes #4005

SECURITY.md: created

Brief security policy description for use/display on github.

tool_cb_prg: Fix integer overflow in progress bar

Commit 61faa0b420c236480bc9ef6fd52b4ecc1e0f8d17 fixed the progress bar
width calculation to avoid integer overflow, but failed to account for
the fact that initial_size is initialized to -1 when the file size is
retrieved from the remote on an upload, causing another signed integer
overflow.  Fix by separately checking for this case before the width
calculation.

Closes #3984
Reported-by: Brian Carpenter (Geeknik Labs)
Reviewed-by: Daniel Stenberg <daniel@haxx.se>

wolfssl: refer to it as wolfSSL only

Remove support for, references to and use of "cyaSSL" from the source
and docs. wolfSSL is the current name and there's no point in keeping
references to ancient history.

Assisted-by: Daniel Gustafsson
Closes #3903

RELEASE-NOTES: synced

bindlocal: detect and avoid IP version mismatches in bind()

Reported-by: Alex Grebenschikov
Fixes #3993
Closes #4002

multi: make sure 'data' can present in several sockhash entries

Since more than one socket can be used by each transfer at a given time,
each sockhash entry how has its own hash table with transfers using that
socket.

In addition, the sockhash entry can now be marked 'blocked = TRUE'"
which then makes the delete function just set 'removed = TRUE' instead
of removing it "for real", as a way to not rip out the carpet under the
feet of a parent function that iterates over the transfers of that same
sockhash entry.

Reported-by: Tom van der Woerdt
Fixes #3961
Fixes #3986
Fixes #3995
Fixes #4004
Closes #3997

libcurl-tutorial.3: Fix small typo (mutipart -> multipart)

Fixed-by: MrSorcus on github
Closes #4000

unpause: trigger a timeout for event-based transfers

... so that timeouts or other state machine actions get going again
after a changing pause state. For example, if the last delivery was
paused there's no pending socket activity.

Reported-by: sstruchtrup on github
Fixes #3994
Closes #4001

travis: use xenial LLVM package for scan-build

I missed that in commit 99a49d6.

travis: update scan-build job to xenial

Closes https://github.com/curl/curl/pull/3999

bump: start working on 7.65.2

examples/htmltitle: use C++ casts between pointer types

Compilers and static analyzers warn about using C-style casts here.

Closes https://github.com/curl/curl/pull/3975

examples/fopen: fix comparison

As want is size_t, (file->buffer_pos - want) is unsigned, so checking
if it's less than zero makes no sense.
Check if file->buffer_pos is less than want instead to avoid the
unsigned integer wraparound.

Closes https://github.com/curl/curl/pull/3975

build: fix Codacy warnings

Reduce variable scopes and remove redundant variable stores.

Closes https://github.com/curl/curl/pull/3975

sws: remove unused variables

Unused since commit 2f44e94.

Closes https://github.com/curl/curl/pull/3975

RELEASE-NOTES: 7.65.1

THANKS: new contributors from 7.65.1

ssl: Update outdated "openssl-only" comments for supported backends

These are for features that used to be openssl-only but were expanded
over time to support other SSL backends.

Closes #3985

curl_share_setopt.3: improve wording [ci ship]

Reported-by: Carlos ORyan

tool_parsecfg: Use correct return type for GetModuleFileName()

GetModuleFileName() returns a DWORD which is a typedef of an unsigned
long and not an int.

Closes #3980

TODO: "at least N milliseconds between requests" [ci skip]

Suggested-by: dkwolfe4 on github
Closes #3920

tests/server/.gitignore: Add socksd to the ignore list

Missed in 04fd6755.

Closes #3978

tool_parsecfg: Fix control flow issue (DEADCODE)

Follow-up to 8144ba38.

Detected by Coverity CID 1445663
Closes #3976

NTLM: reset proxy "multipass" state when CONNECT request is done

Closes #3972

test334: verify HTTP 204 response with chunked coding header

Verifies that a bodyless response don't parse this content-related
header.

http: don't parse body-related headers bodyless responses

Responses with status codes 1xx, 204 or 304 don't have a response body. For
these, don't parse these headers:

- Content-Encoding
- Content-Length
- Content-Range
- Last-Modified
- Transfer-Encoding

This change ensures that HTTP/2 upgrades work even if a
"Content-Length: 0" or a "Transfer-Encoding: chunked" header is present.

Co-authored-by: Daniel Stenberg
Closes #3702
Fixes #3968
Closes #3977

tls13-docs: mention it is only for OpenSSL >= 1.1.1

Reported-by: Jay Satiro
Co-authored-by: Jay Satiro
Fixes #3938
Closes #3946

dump-header.d: spell out that no headers == empty file [ci skip]

Reported-by: wesinator at github
Fixes #3964
Closes #3974

singlesocket: use separate variable for inner loop

An inner loop within the singlesocket() function wrongly re-used the
variable for the outer loop which then could cause an infinite
loop. Change to using a separate variable!

Reported-by: Eric Wu
Fixes #3970
Closes #3973

RELEASE-NOTES: synced

http2: Stop drain from being permanently set on

Various functions called within Curl_http2_done() can have the
side-effect of setting the Easy connection into drain mode (by calling
drain_this()).  However, the last time we unset this for a transfer (by
calling drained_transfer()) is at the beginning of Curl_http2_done().
If the Curl_easy is reused for another transfer, it is then stuck in
drain mode permanently, which in practice makes it unable to write any
data in the new transfer.

This fix moves the last call to drained_transfer() to later in
Curl_http2_done(), after the functions that could potentially call for a
drain.

Fixes #3966
Closes #3967
Reported-by: Josie-H

conncache: Remove the DEBUGASSERT on length check

We trust the calling code as this is an internal function.

Closes #3962

system_win32: fix function prototype

- Change if_nametoindex parameter type from char * to const char *.

Follow-up to 09eef8af from this morning.

Bug: https://github.com/curl/curl/commit/09eef8af#r33716067

appveyor: add Visual Studio solution build

Closes https://github.com/curl/curl/pull/3941

appveyor: add support for other build systems

Introduce BUILD_SYSTEM variable, which is currently always CMake.

Closes https://github.com/curl/curl/pull/3941

url: Load if_nametoindex() dynamically from iphlpapi.dll on Windows

This fixes the static dependency on iphlpapi.lib and allows curl to
build for targets prior to Windows Vista.

This partially reverts 170bd047.

Fixes #3960
Closes #3958

http: fix "error: equality comparison with extraneous parentheses"

parse_proxy: make sure portptr is initialized

Reported-by: Benbuck Nason
fixes #3959

url: default conn->port to the same as conn->remote_port

... so that it has a sensible value when ConnectionExists() is called which
needs it set to differentiate host "bundles" correctly on port number!

Also, make conncache:hashkey() use correct port for bundles that are proxy vs
host connections.

Probably a regression from 7.62.0

Reported-by: Tom van der Woerdt
Fixes #3956
Closes #3957

conncache: make "bundles" per host name when doing proxy tunnels

Only HTTP proxy use where multiple host names can be used over the same
connection should use the proxy host name for bundles.

Reported-by: Tom van der Woerdt
Fixes #3951
Closes #3955

multi: track users of a socket better

They need to be removed from the socket hash linked list with more care.

When sh_delentry() is called to remove a sockethash entry, remove all
individual transfers from the list first. To enable this, each Curl_easy struct
now stores a pointer to the sockethash entry to know how to remove itself.

Reported-by: Tom van der Woerdt and Kunal Ekawde
Fixes #3952
Fixes #3904
Closes #3953

curl-win32.h: Enable Unix Domain Sockets based on the Windows SDK version

Microsoft added support for Unix Domain Sockets in Windows 10 1803
(RS4). Rather than expect the user to enable Unix Domain Sockets by
uncommenting the #define that was added in 0fd6221f we use the RS4
pre-processor variable that is present in newer versions of the
Windows SDK.

Closes #3939

cmake: support CMAKE_OSX_ARCHITECTURES when detecting SIZEOF variables

Closes #3945

HAProxy tests: add keywords

Add the proxy and haproxy keywords in order to be able to exclude or
run these specific tests.

Closes https://github.com/curl/curl/pull/3949

tests: make test 1420 and 1406 work with rtsp-disabled libcurl

Closes #3948

nss: allow to specify TLS 1.3 ciphers if supported by NSS

Closes #3916

RELEASE-NOTES: synced

Revert all SASL authzid (new feature) commits

- Revert all commits related to the SASL authzid feature since the next
  release will be a patch release, 7.65.1.

Prior to this change CURLOPT_SASL_AUTHZID  / --sasl-authzid was destined
for the next release, assuming it would be a feature release 7.66.0.
However instead the next release will be a patch release, 7.65.1 and
will not contain any new features.

After the patch release after the reverted commits can be restored by
using cherry-pick:

git cherry-pick a14d72c a9499ff 8c1cc36 c2a8d52 0edf690

Details for all reverted commits:

Revert "os400: take care of CURLOPT_SASL_AUTHZID in curl_easy_setopt_ccsid()."

This reverts commit 0edf6907ae37e2020722e6f61229d8ec64095b0a.

Revert "tests: Fix the line endings for the SASL alt-auth tests"

This reverts commit c2a8d52a1356a722ff9f4aeb983cd4eaf80ef221.

Revert "examples: Added SASL PLAIN authorisation identity (authzid) examples"

This reverts commit 8c1cc369d0c7163c6dcc91fd38edfea1f509ae75.

Revert "curl: --sasl-authzid added to support CURLOPT_SASL_AUTHZID from the tool"

This reverts commit a9499ff136d89987af885e2d7dff0a066a3e5817.

Revert "sasl: Implement SASL authorisation identity via CURLOPT_SASL_AUTHZID"

This reverts commit a14d72ca2fec5d4eb5a043936e4f7ce08015c177.

FAQ: more minor updates and spelling fixes

Closes #3937

RELEASE-NOTES: synced

sectransp: handle errSSLPeerAuthCompleted from SSLRead()

Reported-by: smuellerDD on github
Fixes #3932
Closes #3933

Fix typo.

tool_setopt: for builds with disabled-proxy, skip all proxy setopts()

Reported-by: Marcel Raad
Fixes #3926
Closes #3929

winbuild: Use two space indentation

Closes #3930

tool_parse_cfg: Avoid 2 fopen() for WIN32

Using the memdebug.h mem-leak feature, I noticed 2 calls like:
  FILE tool_parsecfg.c:70 fopen("c:\Users\Gisle\AppData\Roaming\_curlrc","rt")
  FILE tool_parsecfg.c:114 fopen("c:\Users\Gisle\AppData\Roaming\_curlrc","rt")

No need for 'fopen(), 'fclose()' and a 'fopen()' yet again.

md4: include the mbedtls config.h to get the MD4 info

md4: build correctly with openssl without MD4

Reported-by: elsamuko at github
Fixes #3921
Closes #3922

os400: take care of CURLOPT_SASL_AUTHZID in curl_easy_setopt_ccsid().

.github/FUNDING: mention our opencollective "home" [ci skip]

config-win32: add support for if_nametoindex and getsockname

Closes https://github.com/curl/curl/pull/3923

tests: Fix the line endings for the SASL alt-auth tests

- Change data and protocol sections to CRLF line endings.

Prior to this change the tests would fail or hang, which is because
certain sections such as protocol require CRLF line endings.

Follow-up to a9499ff from today which added the tests.

Ref: https://github.com/curl/curl/pull/3790

url: fix bad #ifdef

Regression since e91e48161235272ff485.

Reported-by: Tom Greenslade
Fixes #3924
Closes #3925

Revert "progress: CURL_DISABLE_PROGRESS_METER"

This reverts commit 3b06e68b7734cb10a555f9d7e804dd5d808236a4.

Clearly this change wasn't good enough as it broke CURLOPT_LOW_SPEED_LIMIT +
CURLOPT_LOW_SPEED_TIME

Reported-by: Dave Reisner
Fixes #3927
Closes #3928

examples: Added SASL PLAIN authorisation identity (authzid) examples

curl: --sasl-authzid added to support CURLOPT_SASL_AUTHZID from the tool

sasl: Implement SASL authorisation identity via CURLOPT_SASL_AUTHZID

Added the ability for the calling program to specify the authorisation
identity (authzid), the identity to act as, in addition to the
authentication identity (authcid) and password when using SASL PLAIN
authentication.

Fixed #3653
Closes #3790

tests: add support to test against OpenSSH for Windows

Testing against OpenSSH for Windows requires v7.7.0.0 or newer
due to the use of AllowUsers and DenyUsers. For more info see:
https://github.com/PowerShell/Win32-OpenSSH/wiki/sshd_config

bump: start on the next release

examples: fix "clarify calculation precedence" warnings

Closes https://github.com/curl/curl/pull/3919

hiperfifo: remove unused variable

Closes https://github.com/curl/curl/pull/3919

examples: remove dead variable stores

Closes https://github.com/curl/curl/pull/3919

examples: reduce variable scopes

Closes https://github.com/curl/curl/pull/3919

http2-download: fix format specifier

Closes https://github.com/curl/curl/pull/3919

PolarSSL: deprecate support step 1. Removed from configure.

Also removed mentions from most docs.

Discussed: https://curl.haxx.se/mail/lib-2019-05/0045.html

Closes #3888

configure/cmake: check for if_nametoindex()

- adds the check to cmake

- fixes the configure check to work for cross-compiled windows builds

Closes #3917

parse_proxy: use the IPv6 zone id if given

If the proxy string is given as an IPv6 numerical address with a zone
id, make sure to use that for the connect to the proxy.

Reported-by: Edmond Yu
Fixes #3482
Closes #3918

RELEASE-NOTES: 7.65.0 release

THANKS: from the 7.65.0 release-notes

url: convert the zone id from a IPv6 URL to correct scope id

Reported-by: GitYuanQu on github
Fixes #3902
Closes #3914

configure: detect getsockname and getpeername on windows too

Made detection macros for these two functions in the same style as other
functions possibly in winsock in the hope this will work better to
detect these functions when cross-compiling for Windows.

Follow-up to e91e4816123

Fixes #3913
Closes #3915

examples: remove unused variables

Fixes Codacy/CppCheck warnings.

Closes

udpateconninfo: mark variable unused

When compiling without getpeername() or getsockname(), the sockfd
paramter to Curl_udpateconninfo() became unused after commit e91e481612
added ifdef guards.

Closes #3910
Fixes https://curl.haxx.se/dev/log.cgi?id=20190520172441-32196
Reviewed-by: Marcel Raad, Daniel Stenberg

ftp: move ftp_ccc in under featureflag

Commit e91e48161235272ff485ff32bd048c53af731f43 moved ftp_ccc in under
the FTP featureflag in the UserDefined struct, but vtls callsites were
still using it unprotected.

Closes #3912
Fixes: https://curl.haxx.se/dev/log.cgi?id=20190520044705-29865
Reviewed-by: Daniel Stenberg, Marcel Raad

curl: report error for "--no-" on non-boolean options

Reported-by: Olen Andoni
Fixes #3906
Closes #3907

mbedtls: enable use of EC keys

Closes #3892

lib1560: add tests for parsing URL with too long scheme

Ref: #3905