curl.1: add a missing dash

CONTRIBUTING.md: fix links

ISSUE_TEMPLATE: github issue template

First version, try this out!

CONTRIBUTING.md: move into .github

To hide github specific files somewhat from the rest.

opts: add references

examples/make: add 'checksrc' target

10-at-a-time: typecast the argument passed to sleep()

externalsocket.c: fix compiler warning for fwrite return type

anyauthput.c: fix compiler warnings

simplessl.c: warning: while with space

curlx.c: i2s_ASN1_IA5STRING() clashes with an openssl function

Reported-By: Gisle Vanem

http2: don't decompress gzip decoding automatically

At one point during the development of HTTP/2, the commit 133cdd29ea0
introduced automatic decompression of Content-Encoding as that was what
the spec said then. Now however, HTTP/2 should work the same way as
HTTP/1 in this regard.

Reported-by: Kazuho Oku
Closes #661

http: Don't break the header into chunks if HTTP/2

nghttp2 callback deals with TLS layer and therefore the header does not
need to be broken into chunks.

Bug: https://github.com/curl/curl/issues/659
Reported-by: Kazuho Oku

openssl: use macro to guard the opaque EVP_PKEY branch

openssl: avoid direct PKEY access with OpenSSL 1.1.0

by using API instead of accessing an internal structure.
This is required starting OpenSSL 1.1.0-pre3.

Closes #650

RELEASE-NOTES: synced with ede0bfc079da

CURLOPT_CONNECTTIMEOUT_MS.3: Fix example to use milliseconds option

Change the example in the docs for CURLOPT_CONNECTTIMEOUT_MS to use
CURLOPT_CONNECTTIMEOUT_MS instead of CURLOPT_CONNECTTIMEOUT.

Closes #653

opt-docs: add more references

SCP: use libssh2_scp_recv2 to support > 2GB files on windows

libssh2_scp_recv2 is introduced in libssh2 1.7.0 - to be released "any
day now.

Closes #451

gtls: fix for builds lacking encrypted key file support

Bug: https://github.com/curl/curl/pull/651

test1604: Add to Makefile.inc so it gets run

generate.bat: Fix comment bug by removing old comments

Remove NOTES section, it's no longer needed since we aren't setting the
errorlevel and more importantly the recently updated URL in the comments
is causing some unusual behavior that breaks the script.

Closes https://github.com/curl/curl/issues/649

curl.1: --disable-{eprt,epsv} are ignored for IPv6 hosts

The behavior has been clarified in CURLOPT_FTP_USE_{EPRT,EPSV}.3 man
pages since curl-7_12_3~131.  This patch makes it clear in the curl.1
man page, too.

Bug: https://bugzilla.redhat.com/1305970

dist: ship buildconf.bat too

As the winbuild/* stuff uses it!

curlx_tvdiff: handle 32bit time_t overflows

On 32bit systems, make sure we don't overflow and return funky values
for very large time differences.

Reported-by: Anders Bakken
Closes #646

examples: fix some compiler warnings

simplessl.c: fix my breakage

examples: adhere to curl code style

All plain C examples now (mostly) adhere to the curl code style. While
they are only examples, they had diverted so much and contained all
sorts of different mixed code styles by now. Having them use a unified
style helps users and readability. Also, as they get copy-and-pasted
widely by users, making sure they're clean and nice is a good idea.

573 checksrc warnings were addressed.

examples/cookie_interface.c: add cleanup call

cleaning up handles is a good idea as we leak memory otherwise

Also, line wrapped before 80 columns.

nss: search slash in forward direction in dup_nickname()

It is wasteful to search it backwards if we look for _any_ slash.

nss: do not count enabled cipher-suites

We only care if at least one cipher-suite is enabled, so it does
not make any sense to iterate till the end and count all enabled
cipher-suites.

contributors.sh: make 79 the max column width (from 80)

RELEASE-NOTES: synced with c276aefee3995

mbedtls.c: re-indent to better match curl standards

mbedtls: fix memory leak when destroying SSL connection data

Closes #626

mbedtls: fix ALPN usage segfault

Since we didn't keep the input argument around after having called
mbedtls, it could end up accessing the wrong memory when figuring out
the ALPN protocols.

Closes #642

opts: update references to renamed options

KNOWN_BUGS: Update #92 - Windows device prefix

tool_doswin: Support for literal path prefix \\?\

For example something like --output \\?\C:\foo

configure: state "BoringSSL" in summary when that was detected

openssl: remove most BoringSSL #ifdefs.

As of https://boringssl-review.googlesource.com/#/c/6980/, almost all of
BoringSSL #ifdefs in cURL should be unnecessary:

- BoringSSL provides no-op stubs for compatibility which replaces most
  #ifdefs.

- DES_set_odd_parity has been in BoringSSL for nearly a year now. Remove
  the compatibility codepath.

- With a small tweak to an extend_key_56_to_64 call, the NTLM code
  builds fine.

- Switch OCSP-related #ifdefs to the more generally useful
  OPENSSL_NO_OCSP.

The only #ifdefs which remain are Curl_ossl_version and the #undefs to
work around OpenSSL and wincrypt.h name conflicts. (BoringSSL leaves
that to the consumer. The in-header workaround makes things sensitive to
include order.)

This change errs on the side of removing conditionals despite many of
the restored codepaths being no-ops. (BoringSSL generally adds no-op
compatibility stubs when possible. OPENSSL_VERSION_NUMBER #ifdefs are
bad enough!)

Closes #640

KNOWN_BUGS: Windows device prefix is required for devices

tool_urlglob: Allow reserved dos device names (Windows)

Allow --output to reserved dos device names without the device prefix
for backwards compatibility.

Example: --output NUL can be used instead of --output \\.\NUL

Bug: https://github.com/curl/curl/commit/4520534#commitcomment-15954863
Reported-by: Gisle Vanem

cookies: allow spaces in cookie names, cut of trailing spaces

It turns out Firefox and Chrome both allow spaces in cookie names and
there are sites out there using that.

Turned out the code meant to strip off trailing space from cookie names
didn't work. Fixed now.

Test case 8 modified to verify both these changes.

Closes #639

Merge branch 'master' of github.com:curl/curl

os400: sync ILE/RPG definitions with latest public header files.

SSLCERTS: update wrt SSL CA certificate store

configure: --with-ca-fallback: use built-in TLS CA fallback

When trying to verify a peer without having any root CA certificates
set, this makes libcurl use the TLS library's built in default as
fallback.

Closes #569

Proxy-Connection: stop sending this header by default

RFC 7230 says we should stop. Firefox already stopped.

Bug: https://github.com/curl/curl/issues/633
Reported-By: Brad Fitzpatrick
Closes #633

bump: work toward the next release

THANKS: 2 contributors from the 7.47.1 release

RELEASE-PROCEDURE: remove the github upload part

... as we're HTTPS on the main site now, there's no point in that
extra step

RELEASE-NOTES: curl 7.47.1 time!

tool_operhlp: Check for backslashes in get_url_file_name

Extract the filename from the last slash or backslash. Prior to this
change backslashes could be part of the filename.

This change needed for the curl tool built for Cygwin. Refer to the
CYGWIN addendum in advisory 20160127B.

Bug: https://curl.haxx.se/docs/adv_20160127B.html

RELEASE-NOTES: synced with d6a8869ea34

openssl: Fix signed/unsigned mismatch warning in X509V3_ext

sk_X509_EXTENSION_num may return an unsigned integer, however the value
will fit in an int.

Bug: https://github.com/curl/curl/commit/dd1b44c#commitcomment-15913896
Reported-by: Gisle Vanem

TODO: 17.11 -w output to stderr

idn_win32: Better error checking

.. also fix a conversion bug in the unused function
curl_win32_ascii_to_idn().

And remove wprintfs on error (Jay).

Bug: https://github.com/curl/curl/pull/637

examples/asiohiper: Avoid function name collision on Windows

closesocket => close_socket
Winsock already has the former.

Bug: https://curl.haxx.se/mail/lib-2016-02/0016.html

examples/htmltitle: Use _stricmp on Windows

Bug: https://curl.haxx.se/mail/lib-2016-02/0017.html

COPYING: clarify that Daniel is not the sole author

... done on request and as it is a fair point.

unit1604: Fix unit setup return code

tool_doswin: Use type SANITIZEcode in sanitize_file_name

tool_doswin: Improve sanitization processing

- Add unit test 1604 to test the sanitize_file_name function.

- Use -DCURL_STATICLIB when building libcurltool for unit testing.

- Better detection of reserved DOS device names.

- New flags to modify sanitize behavior:

SANITIZE_ALLOW_COLONS: Allow colons
SANITIZE_ALLOW_PATH: Allow path separators and colons
SANITIZE_ALLOW_RESERVED: Allow reserved device names
SANITIZE_ALLOW_TRUNCATE: Allow truncating a long filename

- Restore sanitization of banned characters from user-specified outfile.

Prior to this commit sanitization of a user-specified outfile was
temporarily disabled in 2b6dadc because there was no way to allow path
separators and colons through while replacing other banned characters.
Now in such a case we call the sanitize function with
SANITIZE_ALLOW_PATH which allows path separators and colons to pass
through.

Closes https://github.com/curl/curl/issues/624
Reported-by: Octavio Schroeder

URLs: change more http to https

sasl_sspi: Fix memory leak in domain populate

Free an existing domain before replacing it.

Bug: https://github.com/curl/curl/issues/635
Reported-by: silveja1@users.noreply.github.com

URLs: follow GitHub project rename (also Travis CI)

Closes #632

CHANGES.o: fix references to curl.haxx.nu

I removed the scheme prefix from the URLs references this host name, as
we don't own/run that anymore but the name is kept for historic reasons.

HISTORY: add some info about when we used which host names

URLs: change more http to https

URLs: Change more haxx.se URLs from http: to https:

RELEASE-NOTES: synced with 4af40b364

URLs: change all http:// URLs to https://

configure: update the copyright year range in output

dotdot: allow an empty input string too

It isn't used by the code in current conditions but for safety it seems
sensible to at least not crash on such input.

Extended unit test 1395 to verify this too as well as a plain "/" input.

HTTPS: update a bunch of URLs from HTTP to HTTPS

AppVeyor: updated to handle OpenSSL/WinSSL builds

Closes #621

tool_operate: Don't sanitize --output path (Windows)

Due to path separators being incorrectly sanitized in --output
pathnames, eg -o c:\foo => c__foo

This is a partial revert of 3017d8a until I write a proper fix. The
remote-name will continue to be sanitized, but if the user specified an
--output with string replacement (#1, #2, etc) that data is unsanitized
until I finish a fix.

Bug: https://github.com/bagder/curl/issues/624
Reported-by: Octavio Schroeder

curl.1: Explain remote-name behavior if file already exists

.. also warn about letting the server pick the filename.

urldata: Error on missing SSL backend-specific connect info

bump: towards the next (7.47.1 ?)

cmake: fixed when OpenSSL enabled on Windows and schannel detected

Closes #617

urldata: moved common variable out of ifdef

Closes https://github.com/bagder/curl/pull/618

tool_doswin: silence unused function warning

tool_doswin.c:185:14: warning: 'msdosify' defined but not used
[-Wunused-function]

Closes https://github.com/bagder/curl/pull/616

getredirect.c: fix variable name

Reported-by: Bernard Spil

examples/Makefile.inc: specify programs without .c!

THANKS: 6 new contributors from 7.47.0 release notes

NTLM: Fix ConnectionExists to compare Proxy credentials

Proxy NTLM authentication should compare credentials when
re-using a connection similar to host authentication, as it
authenticate the connection.

Example:
curl -v -x http://proxy:port http://host/ -U good_user:good_pwd
  --proxy-ntlm --next -x http://proxy:port http://host/
    [-U fake_user:fake_pwd --proxy-ntlm]

CVE-2016-0755

Bug: http://curl.haxx.se/docs/adv_20160127A.html

curl: avoid local drive traversal when saving file (Windows)

curl does not sanitize colons in a remote file name that is used as the
local file name. This may lead to a vulnerability on systems where the
colon is a special path character. Currently Windows/DOS is the only OS
where this vulnerability applies.

CVE-2016-0754

Bug: http://curl.haxx.se/docs/adv_20160127B.html

RELEASE-NOTES: 7.47.0

FAQ: language fix in 4.19

FAQ: Update to point to GitHub

Current FAQ didn't make it clear where the main repo is.

Closes #612

maketgz: generate date stamp with LC_TIME=C

bug: http://curl.haxx.se/mail/lib-2016-01/0123.html

curl_multi_socket_action.3: line wrap

RELEASE-NOTES: synced with d58ba66eeceb

TODO: "Create remote directories" for SMB

mbedtls: Fix pinned key return value on fail

- Switch from verifying a pinned public key in a callback during the
certificate verification to inline after the certificate verification.

The callback method had three problems:

1. If a pinned public key didn't match, CURLE_SSL_PINNEDPUBKEYNOTMATCH
was not returned.

2. If peer certificate verification was disabled the pinned key
verification did not take place as it should.

3. (related to #2) If there was no certificate of depth 0 the callback
would not have checked the pinned public key.

Though all those problems could have been fixed it would have made the
code more complex. Instead we now verify inline after the certificate
verification in mbedtls_connect_step2.

Ref: http://curl.haxx.se/mail/lib-2016-01/0047.html
Ref: https://github.com/bagder/curl/pull/601

tests: Add a test for pinnedpubkey fail even when insecure

Because disabling the peer verification (--insecure) must not disable
the public key pinning check (--pinnedpubkey).

CURLINFO_RESPONSE_CODE.3: add example

ssh: make CURLOPT_SSH_PUBLIC_KEYFILE treat "" as NULL

The CURLOPT_SSH_PUBLIC_KEYFILE option has been documented to handle
empty strings specially since curl-7_25_0-31-g05a443a but the behavior
was unintentionally removed in curl-7_38_0-47-gfa7d04f.

This commit restores the original behavior and clarifies it in the
documentation that NULL and "" have both the same meaning when passed
to CURLOPT_SSH_PUBLIC_KEYFILE.

Bug: http://curl.haxx.se/mail/lib-2016-01/0072.html