cgi_show_client_tags(): Plug memory leaks

CID 267168

Plug another memory leak in cgi_show_status()

CID 305233

ssl_send_certificate_error(): Cast ssl_send_data() return code to void

... to silence CID 305232.

Plug memory leak in cgi_show_status()

CID 305233

Fix memory leak in cgi_show_status() with extended statistics enabled

CID 305235

Regenerate docs with updated license explanation

Complicate the license explanation even further

The GPLv3 only has to be used if the MbedTLS version
is licensed under the Apache 2.0 license which will
be the case for future releases.

At the moment the 2.16 releases are still dual licensed.

Unblock .tagesschau.de/

Block requests to pixel.wp.com/

Remove the reference to a non-existant 'hash' program in a comment

Block requests to /(.*/)?piwik\.php

Disable fast-redirects for .librarything.com/

Block requests to .connectaserver.de/

Rebuild config file

Rebuild docs

Add documentation for the cipher-list directive

Add a cipher-list directive to specify the ciphers used

... in the TLS handshake.

The get_ciphersuites_from_string() function in the
MbedTLS code is based on code contributed by Václav Švec.

Use 'Example' (singular) in sections that only contain one example

Fix white-space

Disable fast-redirects for issue.freebsdfoundation.org/

Lowercase the host name in functions that set it

In case of get_destination_from_https_headers() it's important
to get stable hashes for certificates.

In case of get_destination_from_headers() and parse_http_url()
it's mainly cosmetic.

Add string_tolower()

Add support for Websockets with https inspection enabled

Set the CT_TABOO flag in case of status code 101 and
continue shuffling data around until one of the sockets
gets closed.

MbedTLS ssl_send_data(): Include the socket in the log messages

MbedTLS ssl_recv_data(): Include the socket in the log messages

OpenSSL ssl_send_data(): Include the file descriptor in the log messages

OpenSSL ssl_recv_data(): Include the file descriptor in the log messages

Disable fast-redirects for .twitter.com/.*origin=http

Remove #119 "Evaluate using pcre's jit mode"

Support has been added.

pcrs: Use the D flag to disable JIT-compilation

... and use it in pcrs_compile_dynamic_command().

pcrs: Request JIT compilation if it's supported

Unblock belco24.de/

Mark FEATURE_HTTPS_INSPECTION as experimental in the show-status template

Add #164: Evaluate switching from pcreposix(3) to pcre's native api for URL matching

Add #163: Use subdirectories in the certificate-directory

Add #162: Delete generated keys and certificates in case of connection failures

Add #161: Properly support requests with chunked transfer-encoding with https inspection

Rebuild config file

Regenerate docs

Add a warning that Privoxy currently does not garbage-collect obsolete keys and certificates

Remove stray space

Declare https-inspection experimental

process_encrypted_request(): If we received no data after a CONNECT request, don't report it as a parse error

send_https_request(): Call receive_and_send_encrypted_post_data() if

... nothing was flushed but we're expecting a request body.

Previously we would only call receive_and_send_encrypted_post_data()
if we flushed part of the request body which does not work if the
client headers are read without a single byte of request body.

privoxy-log-parser.pl: Add a --keep-date option to keep the date in highlighted messages

Block requests to pixel.inforsea.com/

Block requests to t.vi-serve.com/

Block requests to .ioam.de/

Relocate the block of t.9gag.com/img\.gif to the 'web-bug that is an image' section

Relocate a variable declaration to the function where it is used

Remove stray space

Make it more obvious that the OpenSSL code is also expected to work with LibreSSL

pcrs_filter_response(): Free the old data if there are no hits

... and it's different from the data in iob and the new data.

Fixes a memory leak if multiple filters are executed
and the last one is skipped due to a pcre error.

chat(): Don't send the certificate error response if the certificate hasn't been verified

Rebuild docs

Add Hớ Hờ Hợ as contributor

Use Vietnamese Quoted-Readable for the vowels as the numeric
character sets are rejected by openjade.

Add withoutname as contributor

cgi_edit_actions_submit(): Check the toggle state of filters until no filters are left

Previously we would stop looking after the first filter
index wasn't found in the request URL.

This worked in case of "split-large-forms 0" but resulted in
filter state being ignored in case of "split-large-forms 1"
which leads to request URLs that only contain a subset of
the filters.

Reported by withoutname in #921.

OpenSSL: Use %y instead of %Y in VALID_DATETIME_FMT

Otherwise OpenSSL uses the GENERALIZEDTIME ASN.1 encoding
which results in LibreSSL-based clients rejecting
the certificate because they want the UTCTIME encoding
if the year is before 2050.

Example:

    fk@openbsd ~ $curl https://www.electrobsd.org/
    curl: (60) SSL certificate problem: format error in certificate's notBefore field
    [...]

ssl_certificate_is_invalid(): If the validity check fails, consider the certificate invalid

ssl_release(): Fix build with LibreSSL

... by only calling SSL_COMP_free_compression_methods()
and COMP_zlib_cleanup() if OPENSSL_NO_COMP is undefined.

Briefly tested with LibreSSL 3.1.1 on OpenBSD 6.7.

Downgrade a 'Blocked URL' to  so the test works without FEATURE_HTTPS_INSPECTION

Block requests to t.9gag.com/img.gif

close_server_ssl_connection(): Set SSL_RECEIVED_SHUTDOWN

... so the BIO_free_all() call later on does not result
in OpenSSL waiting for a shutdown alert.

Prevents temporary hangs like:

   #0  0x0000000801d1f8da in _read () from /lib/libc.so.7
   #1  0x00000008019aebe6 in __thr_read (fd=59, buf=0x8084ecc43, nbytes=5) at /usr/src/lib/libthr/thread/thr_syscalls.c:418
   #2  0x0000000800cafb62 in sock_read (b=0x80459d470, out=0x8084ecc43 "\027\003\003\062m\234o*\370\005\371\v\242\nxX\364\n\r\020\344H=\261?Y\377Y\177\302\034Y!\004\064&H", outl=5) at /usr/src/crypto/openssl/crypto/bio/bss_sock.c:140
   #3  0x0000000800db9f34 in BIO_read (b=0x80459d470, out=0x8084ecc43, outl=5) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:210
   #4  0x000000080176a80d in ssl3_read_n (s=0x808515500, n=5, max=5, extend=<optimized out>) at /usr/src/crypto/openssl/ssl/s3_pkt.c:258
   #5  0x000000080176b87c in ssl3_get_record (s=0x808515500) at /usr/src/crypto/openssl/ssl/s3_pkt.c:342
   #6  ssl3_read_bytes (s=<optimized out>, type=<optimized out>, buf=<optimized out>, len=<optimized out>, peek=0) at /usr/src/crypto/openssl/ssl/s3_pkt.c:1233
   #7  0x000000080176e7bb in ssl3_shutdown (s=0x808515500) at /usr/src/crypto/openssl/ssl/s3_lib.c:4396
   #8  0x00000008017505b0 in ssl_free (a=0x8085b73f0) at /usr/src/crypto/openssl/ssl/bio_ssl.c:126
   #9  0x0000000800dbab7e in BIO_free (a=0x8085b73f0) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:133
   #10 BIO_free_all (bio=0x0) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:509
   #11 0x000000000045b481 in free_server_ssl_structures (csp=0x807720948) at openssl.c:1147
   #12 0x000000000045b411 in close_server_ssl_connection (csp=0x807720948) at openssl.c:942
   #13 0x0000000000438654 in serve (csp=0x807720948) at jcc.c:4531
   #14 0x00000008019ac08c in thread_start (curthread=0x8051fd200) at /usr/src/lib/libthr/thread/thr_create.c:290
   #15 0x0000000000000000 in ?? ()

close_client_ssl_connection(): Set SSL_RECEIVED_SHUTDOWN

... so the BIO_free_all() call later on does not result
in OpenSSL waiting for a shutdown alert.

Prevents temporary hangs like this:

   (gdb) where
   #0  0x0000000801d1f8da in _read () from /lib/libc.so.7
   #1  0x00000008019aebe6 in __thr_read (fd=26, buf=0x804a2e8c3, nbytes=5) at /usr/src/lib/libthr/thread/thr_syscalls.c:418
   #2  0x0000000800cafb62 in sock_read (b=0x80895ffb0, out=0x804a2e8c3 "\027\003\003\004\a", outl=5) at /usr/src/crypto/openssl/crypto/bio/bss_sock.c:140
   #3  0x0000000800db9f34 in BIO_read (b=0x80895ffb0, out=0x804a2e8c3, outl=5) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:210
   #4  0x000000080176a80d in ssl3_read_n (s=0x806371a80, n=5, max=5, extend=<optimized out>) at /usr/src/crypto/openssl/ssl/s3_pkt.c:258
   #5  0x000000080176b87c in ssl3_get_record (s=0x806371a80) at /usr/src/crypto/openssl/ssl/s3_pkt.c:342
   #6  ssl3_read_bytes (s=<optimized out>, type=<optimized out>, buf=<optimized out>, len=<optimized out>, peek=0) at /usr/src/crypto/openssl/ssl/s3_pkt.c:1233
   #7  0x000000080176e7bb in ssl3_shutdown (s=0x806371a80) at /usr/src/crypto/openssl/ssl/s3_lib.c:4396
   #8  0x00000008017505b0 in ssl_free (a=0x80895fed0) at /usr/src/crypto/openssl/ssl/bio_ssl.c:126
   #9  0x0000000800dbab7e in BIO_free (a=0x80895fed0) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:133
   #10 BIO_free_all (bio=0x0) at /usr/src/crypto/openssl/crypto/bio/bio_lib.c:509
   #11 0x000000000045b301 in free_client_ssl_structures (csp=0x807678a88) at openssl.c:907
   #12 0x000000000045b391 in close_client_ssl_connection (csp=0x807678a88) at openssl.c:883
   #13 0x0000000000438603 in serve (csp=0x807678a88) at jcc.c:4516
   #14 0x00000008019ac08c in thread_start (curthread=0x807744200) at /usr/src/lib/libthr/thread/thr_create.c:290
   #15 0x0000000000000000 in ?? ()

create_client_ssl_connection(): Fix whitespace

serve(): Close the client socket before closing the server socket

When using OpenSSL, closing the server socket sometimes
takes a long time so make sure this does not delay the
closing of the client socket.

While this is a work around, it doesn't hurt and
can be kept once the OpenSSL issue is fixed in
follow-up commits.

privoxy-log-parser: Highlight 'The client socket 16 has become unusable while the server socket 24 is still open.'

privoxy-log-parser: Highlight 'Dropping the client connection on socket 71. The server connection has not been established yet.'

privoxy-log-parser: Completely highlight 'Reusing server socket 35 connected to nl.wikipedia.org. Requests already sent: 5.'

Include wincrypt.h when compiling with OpenSSL on Windows

... but undefine X509_NAME and X509_EXTENSIONS.

Fixes:

    x86_64-w64-mingw32-gcc -c -pipe -O2 -Wshadow -DWINVER=0x501   -mwindows
    -Wall -Ipcre  openssl.c -o openssl.o
    In file included from
    P:/msys64/mingw64/x86_64-w64-mingw32/include/windows.h:95,
                     from project.h:62,
                     from openssl.c:42:
    P:/msys64/mingw64/include/openssl/ssl.h:1611:5: error: expected
    specifier-qualifier-list before '(' token
     1611 |     X509_EXTENSIONS *tlsext_ocsp_exts;
          |     ^~~~~~~~~~~~~~~

when using OpenSSL 1.0.2.

Reported and partially submitted by: Hớ Hờ Hợ

Rebuild docs

Add a missing apostroph in the 'More Privoxy' menu

Add a missing apostroph in the 'More Privoxy' menu

Register dependencies of the ssl_common object file so it is rebuilt when needed

Register dependencies of the openssl object file so it is rebuilt when needed

Add ssl_common.h to the dependencies of the ssl object file

listen_loop(): Fix format specifiers in two log messages

Factor string_or_none() out of connection_destination_matches()

Bump copyright

remember_connection(): Remember the socks user name and password

Check the socks user name and password when comparing forwarding settings

Add connection_detail_matches() as helper function for connection_destination_matches()

Unlike the code it replaces it properly detects a mismatch
if only one detail is set.

ssl_store_cert(): Fix format specifiers in a log message

ssl_send_certificate_error(): Fix format specifier in a log message

enable_client_specific_tag(): Fix format specifier in a log message

get_next_tag_timeout_for_client(): Fix format specifiers in log messages

get_tag_list_for_client(): Fix format specifier in a log message

parse_header_time(): Fix format specifiers in a log message

client_if_modified_since(): Remove an unused argument from a log_error() call

client_if_modified_since(): Fix format specifiers in two log messages

server_last_modified(): Fix format specifiers in a log message

filter_header(): Fix format specifiers in two log messages

header_tagger(): Fix logging in case of two error conditions

Previously a character was passed to log_error() when a pointer
was expected. Apparently the conditions don't occur in the wild
so nobody noticed.

decompress_iob(): Make a debug message that isn't supposed to be shown less verbose

Previously a bunch of details where included with incorrect
format specifiers. In practice the message isn't shown so
it should probably be replaced with an assertion.

decompress_iob(): Fix format specifiers in a log message

decompress_iob(): Remove a stray space

decompress_iob(): Fix format specifier in a log message

decompress_iob_with_brotli(): Fix format specifiers in two log messages

add_to_iob(): Fix format specifiers in a log message