TODO: brotli is deployed widely now

urldata: include curl_sspi.h when Windows SSPI is enabled

f77dabe broke builds in Windows using Windows SSPI but not Windows SSL.

Bug: https://github.com/curl/curl/issues/1276
Reported-by: jveazey@users.noreply.github.com

url: Improve CURLOPT_PROXY_CAPATH error handling

- Change CURLOPT_PROXY_CAPATH to return CURLE_NOT_BUILT_IN if the option
  is not supported, which is the same as what we already do for
  CURLOPT_CAPATH.

- Change the curl tool to handle CURLOPT_PROXY_CAPATH error
  CURLE_NOT_BUILT_IN as a warning instead of as an error, which is the
  same as what we already do for CURLOPT_CAPATH.

- Fix CAPATH docs to show that CURLE_NOT_BUILT_IN is returned when the
  respective CAPATH option is not supported by the SSL library.

Ref: https://github.com/curl/curl/pull/1257

cyassl: fix typo

release: 7.53.0

cookie: fix declaration of 'dup' shadows a global declaration

TLS: make SSL_VERIFYSTATUS work again

The CURLOPT_SSL_VERIFYSTATUS option was not properly handled by libcurl
and thus even if the status couldn't be verified, the connection would
be allowed and the user would not be told about the failed verification.

Regression since cb4e2be7c6d42ca

CVE-2017-2629
Bug: https://curl.haxx.se/docs/adv_20170222.html

Reported-by: Marcus Hoffmann

digest_sspi: Handle 'stale=TRUE' directive in HTTP digest

- If the server has provided another challenge use it as the replacement
  input token if stale=TRUE. Otherwise previous credentials have failed
  so return CURLE_LOGIN_DENIED.

Prior to this change the stale directive was ignored and if another
challenge was received it would cause error CURLE_BAD_CONTENT_ENCODING.

Ref: https://tools.ietf.org/html/rfc2617#page-10

Bug: https://github.com/curl/curl/issues/928
Reported-by: tarek112@users.noreply.github.com

smb: use getpid replacement for windows UWP builds

Source: https://github.com/Microsoft/vcpkg/blob/7676b8780db1e1e591c4fc7eba4f96f73c428cb4/ports/curl/0002_fix_uwp.patch

TODO: CURLOPT_RESOLVE for any port number

Closes #1264

RELEASE-NOTES: synced with af30f1152d43dcdb

sftp: improved checks for create dir failures

Since negative values are errors and not only -1. This makes SFTP upload
with --create-dirs work (again).

Closes #1269

digest_sspi: Fix nonce-count generation in HTTP digest

- on the first invocation: keep security context returned by
  InitializeSecurityContext()

- on subsequent invocations: use MakeSignature() instead of
  InitializeSecurityContext() to generate HTTP digest response

Bug: https://github.com/curl/curl/issues/870
Reported-by: Andreas Roth
Closes https://github.com/curl/curl/pull/1251

examples/multi-uv: checksrc compliance

string formatting: fix 4 printf-style format strings

tests: removed the obsolete name parameter

speed caps: update the timeouts if the speed is too low/high

Follow-up to 4b86113

Fixes https://github.com/curl/curl/issues/793
Fixes https://github.com/curl/curl/issues/942

docs: fix timeout handling in multi-uv example

proxy: fix hostname resolution and IDN conversion

Properly resolve, convert and log the proxy host names.
Support the "--connect-to" feature for SOCKS proxies and for passive FTP
data transfers.

Follow-up to cb4e2be

Reported-by: Jay Satiro
Fixes https://github.com/curl/curl/issues/1248

http: fix missing 'Content-Length: 0' while negotiating auth

- While negotiating auth during PUT/POST if a user-specified
  Content-Length header is set send 'Content-Length: 0'.

This is what we do already in HTTPREQ_POST_FORM and what we did in the
HTTPREQ_POST case (regression since afd288b).

Prior to this change no Content-Length header would be sent in such a
case.

Bug: https://curl.haxx.se/mail/lib-2017-02/0006.html
Reported-by: Dominik Hölzl
Closes https://github.com/curl/curl/pull/1242

winbuild: add note on auto-detection of MACHINE in Makefile.vc

Closes #1265

RELEASE-PROCEDURE: update the upcoming release calendar

TODO: consider file name from the redirected URL with -O ?

It isn't easily solved, but with some thinking someone could probably
come up with a working approach?

Closes #1241

tool_urlglob: Allow a glob range with the same start and stop

For example allow ranges like [1-1] and [a-a] etc.

Regression since 5ca96cb.

Bug: https://github.com/curl/curl/issues/1238
Reported-by: R. Dennis Steed

axtls: adapt to API changes

Builds with axTLS 2.1.2. This then also breaks compatibility with axTLS
< 2.1.0 (the older API)

... and fix the session_id mixup brought in 04b4ee549

Fixes #1220

RELEASE-NOTES: synced with 690935390c29c

curl: fix typo in time condition warning message

The warning message had a typo. The argument long form is --time-cond
not --timecond

Closes #1263

smb: code indent

configure: Allow disabling pthreads, fall back on Win32 threads

When the threaded resolver option is specified for configure the default
thread library is pthreads. This change makes it possible to
--disable-pthreads and then configure can fall back on Win32 threads for
native Windows builds.

Closes https://github.com/curl/curl/pull/1260

http2: fix memory-leak when denying push streams

Reported-by: zelinchen@users.noreply.github.com
Fixes #1229

tool_operate: Show HTTPS-Proxy options on CURLE_SSL_CACERT

When CURLE_SSL_CACERT occurs the tool shows a lengthy error message to
the user explaining possible solutions such as --cacert and --insecure.

This change appends to that message similar options --proxy-cacert and
--proxy-insecure when there's a specified HTTPS proxy.

Closes https://github.com/curl/curl/issues/1258

cmdline-opts/page-footer: ftp.sunet.se is no longer an FTP mirror

URL: only accept ";options" in SMTP/POP3/IMAP URL schemes

Fixes #1252

cmdline-opts/socks*: Mention --preproxy in --socks* opts

- Document in --socks* opts they're still mutually exclusive of --proxy.

Partial revert of 423a93c; I had misinterpreted the SOCKS proxy +
HTTP/HTTPS proxy combination.

- Document in --socks* opts that --preproxy can be used to specify a
  SOCKS proxy at the same time --proxy is used with an HTTP/HTTPS proxy.

CURLOPT_SSL_VERIFYPEER.3: also the https proxy version

nss: make FTPS work with --proxytunnel

If the NSS code was in the middle of a non-blocking handshake and it
was asked to finish the handshake in blocking mode, it unexpectedly
continued in the non-blocking mode, which caused a FTPS connection
over CONNECT to fail with "(81) Socket not ready for send/recv".

Bug: https://bugzilla.redhat.com/1420327

examples/multithread.c: link to our multi-thread docs

... instead of the OpenSSL mutex page.

http_proxy: avoid freeing static memory

Follow up to 7fe81ec298e0: make sure 'host' is either NULL or malloced.

http_proxy: Fix tiny memory leak upon edge case connecting to proxy

Fixes #1255

polarssl, mbedtls: Fix detection of pending data

Reported-by: Dan Fandrich
Bug: https://curl.haxx.se/mail/lib-2017-02/0032.html

test1139: Added the --manual keyword since the manual is required

RELEASE-NOTES: synced with 102454459dd688c

THANKS-filter: polish some recent contributors

http2: reset push header counter fixes crash

When removing an easy handler from a multi before it completed its
transfer, and it had pushed streams, it would segfault due to the pushed
counted not being cleared.

Fixed-by: zelinchen@users.noreply.github.com
Fixes #1249

transfer: only retry nobody-requests for HTTP

Using sftp to delete a file with CURLOPT_NOBODY set with a reused
connection would fail as curl expected to get some data. Thus it would
retry the command again which fails as the file has already been
deleted.

Fixes #1243

telnet: Fix typos

Ref: https://github.com/curl/curl/pull/1245

test552: Fix typos

Closes https://github.com/curl/curl/pull/1245

darwinssl: Avoid parsing certificates when not in verbose mode

The information extracted from the server certificates in step 3 is only
used when in verbose mode, and there is no error handling or validation
performed as that has already been done. Only run the certificate
information extraction when in verbose mode and libcurl was built with
verbose strings.

Closes https://github.com/curl/curl/pull/1246

schannel: Remove incorrect SNI disabled message

- Remove the SNI disabled when host verification disabled message
  since that is incorrect.

- Show a message for legacy versions of Windows <= XP that connections
  may fail since those versions of WinSSL lack SNI, algorithms, etc.

Bug: https://github.com/curl/curl/pull/1240

CHANGES: spell fix, use correct path to script

CHANGES.0: removed

This is the previously manually edited changelog, not touched since Aug
2015. Still present in git for those who wants it.

cmdline-opts: Fixed build and test in out of source tree builds

use *.sourceforge.io and misc URL updates

Ref: https://sourceforge.net/blog/introducing-https-for-project-websites/
Closes: https://github.com/curl/curl/pull/1247

docs: Add more HTTPS proxy documentation

- Document HTTPS proxy type.

- Document --write-out %{proxy_ssl_verify_result}.

- Document SOCKS proxy + HTTP/HTTPS proxy combination.

HTTPS proxy support was added in 7.52.0 for OpenSSL, GnuTLS and NSS.

Ref: https://github.com/curl/curl/commit/cb4e2be

OS400: Fix symbols

- s/CURLOPT_SOCKS_PROXY/CURLOPT_PRE_PROXY
  Follow-up to 7907a2b and 845522c.

- Fix incorrect id for CURLOPT_PROXY_PINNEDPUBLICKEY.

- Add id for CURLOPT_ABSTRACT_UNIX_SOCKET.

Bug: https://github.com/curl/curl/issues/1237
Reported-by: jonrumsey@users.noreply.github.com

cmake: Support curl --xattr when built with cmake

- Test for and set HAVE_FSETXATTR when support for extended file
  attributes is present.

Closes https://github.com/curl/curl/pull/1176

openssl: Don't use certificate after transferring ownership

SSL_CTX_add_extra_chain_cert takes ownership of the given certificate
while, despite the similar name, SSL_CTX_add_client_CA does not. Thus
it's best to call SSL_CTX_add_client_CA before
SSL_CTX_add_extra_chain_cert, while the code still has ownership of the
argument.

Closes https://github.com/curl/curl/pull/1236

mbedtls: implement CTR-DRBG and HAVEGE random generators

closes #1227

docs: we no longer ship HTML versions of man pages

... refer to the web site for the web versions.

docs: proofread README.netware README.win32

Closes #1231

RELEASE-NOTES; synced with ab08d82648

mbedtls: disable TLS session tickets

SSL session reuse with TLS session tickets is not supported yet.
Use SSL session IDs instead.

See https://github.com/curl/curl/issues/1109

gnutls: disable TLS session tickets

SSL session reuse with TLS session tickets is not supported yet.
Use SSL session IDs instead.

Fixes https://github.com/curl/curl/issues/1109

polarssl: fix hangs

This bugfix is similar to commit c111178bd4.

cookies: do not assume a valid domain has a dot

This repairs cookies for localhost.

Non-PSL builds will now only accept "localhost" without dots, while PSL
builds okeys everything not listed as PSL.

Added test 1258 to verify.

This was a regression brought in a76825a5efa6b4

TODO: remove "Support TLS v1.3"

Support is trickling in already.

INTERNALS.md: language improvements

Closes #1226

telnet: fix windows compiler warnings

Thumbs-up-by: Jay Satiro
Closes #1225

VC: remove the makefile.vc6 build infra

The winbuild/ build files is now the single MSVC makefile build choice.

Closes #1215

cmdline-opts/gen.pl: Open input files in CRLF mode

On Windows it's possible to have input files with CRLF line endings and
a perl that defaults to LF line endings (eg msysgit). Currently that
results in generator output of mixed line endings of CR, LF and CRLF.

This change fixes that issue in the most succinct way by opening the
files in :crlf text mode even when the perl being used does not default
to that mode. (On operating systems that don't have a separate text mode
it's essentially a no-op.) The output continues to be in the perl's
native line ending.

docs/curl.1: generate from the cmdline-opts script

vtls: source indentation fix

contri*.sh: cut off parentheses from names too

RELEASE-NOTES: synced with 01ab7c30bba6f

vtls: fix PolarSSL non-blocking handling

A regression brought in cb4e2be

Reported-by: Michael Kaufmann
Bug: https://github.com/curl/curl/issues/1174#issuecomment-274018791

vtls: fix mbedtls multi non blocking handshake.

When using multi, mbedtls handshake is in non blocking mode.  vtls must
set wait for read/write flags for the socket.

Closes #1223

CURLOPT_BUFFERSIZE: support enlarging receive buffer

Replace use of fixed macro BUFSIZE to define the size of the receive
buffer.  Reappropriate CURLOPT_BUFFERSIZE to include enlarging receive
buffer size.  Upon setting, resize buffer if larger than the current
default size up to a MAX_BUFSIZE (512KB). This can benefit protocols
like SFTP.

Closes #1222

sws: use SOCKERRNO, not errno

Reported-by: Gisle Vanem

KNOWN_BUGS: HTTP/2 server push enabled when no pushes can be accepted

This has been implemented with commit 9ad034e.

*.rc: escape non-ASCII/non-UTF-8 character for clarity

Closes https://github.com/curl/curl/pull/1217

docs: non-blocking SSL handshake is now supported with NSS

Implemented since curl-7_36_0-130-g8868a22

Reported-by: Fahim Chandurwala

CURLOPT_CONNECT_TO: Fix compile warnings

Fix compile warnings that appeared only when curl has been configured
with '--disable-verbose'.

usercertinmem.c: improve the short description

parseurl: move back buffer to function scope

Regression since 1d4202ad, which moved the buffer into a more narrow
scope, but the data in that buffer was used outside of that more narrow
scope.

Reported-by: Dan Fandrich
Bug: https://curl.haxx.se/mail/lib-2017-01/0093.html

openssl: Fix random generation

- Fix logic error in Curl_ossl_random.

Broken a few days ago in 807698d.

TODO: share OpenSSL contexts

By supporting this, subsequent connects would load a lot less data from
disk.

Closes #1110

bump: next release will be 7.53.0

nss: use the correct lock in nss_find_slot_by_name()

http2: disable server push if not requested

Ref: https://github.com/curl/curl/pull/1160

docs: improved language in README.md HISTORY.md CONTRIBUTE.md

Closes #1211

http: print correct HTTP string in verbose output when using HTTP/2

Before:
```
 % src/curl https://sigsegv.ninja/ -v --http2
...
> GET / HTTP/1.1
> Host: sigsegv.ninja
> User-Agent: curl/7.52.2-DEV
> Accept: */*
>
...
```

After:
```
 % src/curl https://sigsegv.ninja/ -v --http2
...
> GET / HTTP/2
> Host: sigsegv.ninja
> User-Agent: curl/7.52.2-DEV
> Accept: */*
>
```

TODO: send only part of --data

Closes #1200

TODO: implemened "--fail-fast to exit on first transfer fail"

Even though it is called --fail-early

TODO: Chunked transfer multipart formpost

Closes #1139

TODO: Improve formpost API, not just add an easy argument

addrinfo: fix compiler warning on offsetof() use

curl_addrinfo.c:519:20: error: conversion to ‘curl_socklen_t {aka
unsigned int}’ from ‘long unsigned int’ may alter its value
[-Werror=conversion]

Follow-up to 1d786faee1046f

THANKS-filter: Jiri Malak

RELEASE-NOTES: synced with a7c73ae309c

unix_socket: add support for abstract unix domain socket

In addition to unix domain sockets, Linux also supports an
abstract namespace which is independent of the filesystem.

In order to support it, add new CURLOPT_ABSTRACT_UNIX_SOCKET
option which uses the same storage as CURLOPT_UNIX_SOCKET_PATH
internally, along with a flag to specify abstract socket.

On non-supporting platforms, the abstract address will be
interpreted as an empty string and fail gracefully.

Also add new --abstract-unix-socket tool parameter.

Signed-off-by: Isaac Boukris <iboukris@gmail.com>
Reported-by: Chungtsun Li (typeless)
Reviewed-by: Daniel Stenberg
Reviewed-by: Peter Wu
Closes #1197
Fixes #1061

write-out.d: 'time_total' is not always shown with ms precision

We have higher resolution since 7.52.0