Merge Debian 4.0.0-1 changes.

Regenerate FAQ

Add new FAQ: 'Is the Privoxy source tarball infected by a virus?'

.../content-filters/content-filters.action: Remove duplicate action section

Bump copyright

Add fetch test for the How-Tos in the user manual

Bump copyright

Update RSS feed for the 4.0.0 release

tests/cts: quote % in skip-reasons and manifest.

curl testsuite runtests.pl uses the skip reason as sprintf() template.
So we have to quote % as %% in the skip reasons, otherwise runtests.pl
writes the following errors on stderr:

Invalid conversion in sprintf: "%{" at ./runtests.pl line 3904.
Invalid conversion in sprintf: "%H" at ./runtests.pl line 3904.
Invalid conversion in sprintf: "%H" at ./runtests.pl line 3904.
Invalid conversion in sprintf: "%H" at ./runtests.pl line 3904.

tests/cts/runtests-wrapper: make curl_source_directory configurable

by setting CURL_SOURCE_DIRECTORY environment variable.

Regenerate HTML user manual

Update SGML ChangeLog

Update ChangeLog in the announcement

Update ChangeLog

user-manual: Don't claim that all TLS libararies behave the same

... and explicitly mention that the best choice depends on
various factors.

Block requests to b.6sc.co/

Block requests to 0.css-load.com/

Block requests to html-load.com/ and 1.html-load.com/

Remove test scenario acl-destination-permitted for now

As it turns out it no longer works reliably either on my system
and sometimes fails with:

    fk@t520 ~/git/privoxy/tests/cts $./run-privoxy-tests.sh -t acl-destination-permitted
    Test scenario: acl-destination-permitted
    Overwriting default TESTDIR with /home/fk/git/privoxy/tests/cts/acl-destination-permitted/data
    ********* System characteristics ********
    * curl 7.85.0-DEV (amd64-unknown-freebsd14.2)
    * libcurl/7.85.0-DEV OpenSSL/3.0.15 zlib/1.3.1 libidn2/2.3.7 libpsl/0.21.5 (+libidn2/2.3.7) nghttp2/1.64.0
    * Features: alt-svc AsynchDNS Debug HSTS HTTP2 HTTPS-proxy IDN IPv6 Largefile libz NTLM NTLM_WB PSL SSL threadsafe TLS-SRP TrackMemory UnixSockets
    * Disabled:
    * Host: t520.local
    * System: ElectroBSD t520.local 14.2-STABLE ElectroBSD 14.2-STABLE #49 electrobsd-14-n270357-5e1b07e1e6c2: 2025-01-07 14:31:47 +0000     fk@t520.local:/usr/obj/usr/src/amd64.amd64/sys/ELECTRO_BEER amd64
    * OS: freebsd
    *
    *** DISABLES memory tracking when using threaded resolver
    *
    * Servers: SSL HTTP-IPv6 HTTP-unix FTP-IPv6
    * Env:
    * Seed: 262633
    *****************************************
    RUN: Unknown server on our http port: 20000 (56)
    RUN: HTTP server failed verification
    == Contents of files in the log/ dir after test 1
    === Start of file http_server.log
     13:29:31.160958 Running HTTP IPv4 version on port 20000
     13:29:31.161374 Wrote pid 8319 to .http_server.pid
     13:29:31.161492 Wrote port 20000 to .http_server.port
     13:29:32.168162 exit_signal_handler: 15
     13:29:32.168353 signalled to die
     13:29:32.168631 ========> IPv4 sws (port 20000 pid: 8319) exits with signal (15)
    === End of file http_server.log
    === Start of file http_verify.log
     * STATE: INIT => CONNECT handle 0x2d09b0b08808; line 1881 (connection #-5000)
     * Added connection 0. The cache now contains 1 members
     * family0 == v4, family1 == v6
     *   Trying 127.0.0.1:9119...
     * STATE: CONNECT => CONNECTING handle 0x2d09b0b08808; line 1942 (connection #0)
     * Connected to 127.0.0.1 (127.0.0.1) port 9119 (#0)
     * STATE: CONNECTING => PROTOCONNECT handle 0x2d09b0b08808; line 2076 (connection #0)
     * STATE: PROTOCONNECT => DO handle 0x2d09b0b08808; line 2097 (connection #0)
     > GET http://127.0.0.1:20000/verifiedserver HTTP/1.1
     > Host: 127.0.0.1:20000
     > User-Agent: curl/7.85.0-DEV
     > Accept: */*
     > Proxy-Connection: Keep-Alive
     >
     * STATE: DO => DID handle 0x2d09b0b08808; line 2193 (connection #0)
     * STATE: DID => PERFORMING handle 0x2d09b0b08808; line 2312 (connection #0)
     * Recv failure: Connection reset by peer
     * multi_done: status: 56 prem: 1 done: 0
     * The cache now contains 0 members
     * Closing connection 0
     * Expire cleared (transfer 0x2d09b0b08808)
    === End of file http_verify.log
    test 0001 SKIPPED: failed starting HTTP server
    TESTDONE: 1 tests were considered during 6 seconds.
    TESTINFO: 1 tests were skipped due to these restraints:
    TESTINFO: "failed starting HTTP server" 1 time (1)

    TESTFAIL: No tests were performed

    TESTFAIL: Nothing matched these keywords: https http

This reverts commit 5415008eafe007b95daa7801ff53bcf13ae52a6a.

Remove test scenario acl-destination-denied for now

As Roland reported, it fails on his system with "curl
returned 52, when expecting 56". On my systems it seems
to work unreliably.

This reverts commit 3bf6d00c1ed54eefb190021d94022e18c6adc48b.

Remove test scenario acl-ip-address-denied for now

It works on some systems but fails on others with:

    fk@test-vm ~/git/privoxy/tests/cts $./run-privoxy-tests.sh -t acl-ip-address-denied
    Test scenario: acl-ip-address-denied
    Overwriting default TESTDIR with /home/fk/git/privoxy/tests/cts/acl-ip-address-denied/data
    ********* System characteristics ********
    * curl 7.85.0-DEV (amd64-unknown-freebsd14.2)
    * libcurl/7.85.0-DEV OpenSSL/3.0.15 zlib/1.3.1
    * Features: alt-svc AsynchDNS Debug HSTS HTTPS-proxy IPv6 Largefile libz NTLM NTLM_WB SSL threadsafe TLS-SRP TrackMemory UnixSockets
    * Disabled:
    * Host: test-vm
    * System: FreeBSD test-vm 14.2-STABLE ElectroBSD 14.2-STABLE #0: Tue Dec 31 13:16:10 UTC 2024     elektropunker@ElectroBSD-20241231-f500004c12e1:/usr/obj/usr/src/amd64.amd64/sys/ELECTRO_BLOAT amd64
    * OS: freebsd
    *
    *** DISABLES memory tracking when using threaded resolver
    *
    * Servers: SSL HTTP-IPv6 HTTP-unix FTP-IPv6
    * Env:
    * Seed: 207549
    *****************************************
    test 0001...[Request from denied IP address]

    curl returned 52, when expecting 56
     exit FAILED

     - abort tests
    TESTDONE: 1 tests were considered during 0 seconds.
    TESTDONE: 0 tests out of 1 reported OK: 0%

    TESTFAIL: These test cases failed: 1

This reverts commit 13778c50cddb5458b180a378d7066f9890ba5345.

tests/cts/curl-test-manifest-for-privoxy: Regenerate

tests/cts/gen-skip-reasons.pl: Bump copyright

tests/cts/gen-skip-reasons.pl: Skip test 389 as it is known to fail depending on the DNS settings

Reported by Roland.

tests/cts/README: Suggest to checkout curl-7_85_0

A curl checkout at 073268a6de3 fails to configure when using
autoreconf 2.72:

| checking curl version... 7.85.0-DEV
| ./configure: 6904: Syntax error: ";;" unexpected (expecting "fi")

As Roland noticed this was fixed by curl commit a8f52ce225cc.

run-privoxy-tests.sh: Bump copyright

run-privoxy-tests.sh: Add -c option to continue in case of failures

Regenerate HTML user manual

SGML ChangeLog: Turn GitHub URL into a link

Regenerate HTML user manual

user-manual: Mention wolfSSL and LibreSSL in the HTTPS inspection HOWTO

Remove #184 as wolfSSL support has been committed a while ago

Rebuild docs for 4.0.0 stable

Update SGML ChangeLog for Privoxy 4.0.0

Update announcement for Privoxy 4.0.0

Bump copyright

Bump copyright

developer-manual: Bump copyright

developer-manual: Remove obsolete information about version numbers and branches

Regenerate HTML man page for the 4.0.0 release using the groff2html target

Regenerate privoxy.8 for the 4.0.0 release

Regenerate config file for Privoxy 4.0.0

Bump copyright

Bump ChangeLog copyright

Add ChangeLog entries for Privoxy 4.0.0

uagen: Bump version to 0.1.6

privoxy-log-parser: Bump version to 0.9.6

Bump copyright

user-manual: Spell 'Tor' the standard way

Bump SMGL entities for 4.0.0 stable

Bump copyright

FAQ: Bump copyright

FAQ: Mention that Privoxy Moral Licenses are available as well

mbedtls: Add periods to a bunch of log messages

Update perlre perldoc URL

Bump copyright

Unblock adl.windows.com/

... as it is apparently required to update from Windows 10 to 11.

Reported by: Sam Varshavchik

Bump copyright

configure: Bump SOURCE_DATE_EPOCH

configure: Bump version to 4.0.0 stable

Bump copyright

Factor out newer_privoxy_version_required() and improve the logic

Previously 3.0.11 was considered newer than 4.0.0.

Add support for mbedTLS 3.x

This removes a sanity check (whether issuer key and issuer certificate
match) that seems overly cautious and fails to compile with mbedTLS
3.x as the struct members are private.

We don't have an equivalent check in the OpenSSL or wolfSSL code either.

windows build doc: note that one only needs tidy to build the docs

If you're not building the docbook stuff you don't need tidy.

windows build doc: use the PCRE2 10.x library

the old 8.x PCTRE library has been unsupported for ages.

Use the brotli 1.1.0 library

1.0.9 is no longer the latest & greatest

build with "--enable-compression" specified

I don't remember if I was asked for this to be enabled or no, but
allow Privoxy to compress buffered content it sends to the client.

Merge branch 'master' of ssh://git.privoxy.org:23/git/privoxy

config: Add SOCKS 5 to the list of supported protocols

Unblock requests for 'adventur*.'

mbedTLS: Fix typo in error message

Merge branch 'master' of ssh://git.privoxy.org:23/git/privoxy

Merge debian changes from 3.0.34-6.

configure.in: wolfSSL has nothing to to with LibreSSL.

additionally change Wolfssl to wolfSSL, which is their own notation.

user-manual: fix LibreSSL URL.

rebuild doc/webserver/user-manual

Merge debian changes from 3.0.34-4 and 3.0.34-5.

Improve wording of the HOWTOs.

uagen: Bump BROWSER_VERSION and BROWSER_REVISION

... to match Firefox ESR 128.

normalize_lws(): Only log the 'Reducing whitespace ...' message once per header

init_error_log(): Include the reason for failures to open the log file

wolfssl: Use log_error() more often

log_ssl_errors() is only supposed to be used for TLS-related errors.

wolfssl ssl_(send|recv)_data(): Call wolfSSL_ERR_clear_error() before doing any work

Prevents logging of bogus errors like:
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: RSA key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: ECC key too small
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: error state on socket
15:53:27.932 009 Error: Sending data on socket 12 over TLS failed: Peer closed underlying transport Error
15:53:27.933 009 Error: Failed to send the modified content to the client over TLS

wolfssl ssl_store_cert(): Consistently use log_error() to log errors

Previously log_ssl_errors() was used which only works for TLS errors.

Prevents logging stale errors like:

15:10:34.153 007 Error: X509 certificate verification for www.youtube.com failed with error -161: ASN alternate name error
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: RSA key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: ECC key too small
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: ASN alternate name error
15:10:34.156 007 Error: wolfSSL_PEM_write_bio_X509() failed: ASN alternate name error
15:10:34.156 007 Error: ssl_store_cert() failed for cert 2
15:10:34.156 007 Error: Incomplete certificate information for www.youtube.com.

While at it, add periods to log messages.

Block requests for .amazon-adsystem.com/

Disable fast-redirects to duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/

Disable fast-redirects for .creator-spring.com/_next/image

Disable fast redirects for accounts.bahn.de/

wolfSSL shutdown_connection(): Shorten an error message

... to not include the return code which is always -1.

Bump copyright

Bump copyright

Bump copyright

Bump copyright

OpenSSL generate_key(): Check EVP_RSA_gen()'s return value

Factor out create_hexadecimal_hash_of_host()

Use SHA256 as hash algorithm for the certificate and key file names

... instead of MD5.

The known MD5 vulnerabilities shoulnd't matter for Privoxy's use case
but it doesn't hurt to use a hash algorithm that isn't deprecated.

Sponsored by: Robert Klemme

OpenSSL generate_key(): Use EVP_RSA_gen() when using OpenSSL 3.0 or later

Silences a bunch of deprecation warnings:

    openssl.c:1523:10: warning: 'RSA_new' is deprecated [-Wdeprecated-declarations]
     1523 |    rsa = RSA_new();
          |          ^
    /usr/local/include/openssl/rsa.h:201:1: note: 'RSA_new' has been explicitly marked deprecated here
      201 | OSSL_DEPRECATEDIN_3_0 RSA *RSA_new(void);
          | ^
    /usr/local/include/openssl/macros.h:182:49: note: expanded from macro 'OSSL_DEPRECATEDIN_3_0'
      182 | #   define OSSL_DEPRECATEDIN_3_0                OSSL_DEPRECATED(3.0)
          |                                                 ^
    /usr/local/include/openssl/macros.h:62:52: note: expanded from macro 'OSSL_DEPRECATED'
       62 | #     define OSSL_DEPRECATED(since) __attribute__((deprecated))
          |                                                    ^
    openssl.c:1540:10: warning: 'RSA_generate_key_ex' is deprecated [-Wdeprecated-declarations]
     1540 |    ret = RSA_generate_key_ex(rsa, RSA_KEYSIZE, exp, NULL);
          |          ^
    /usr/local/include/openssl/rsa.h:260:1: note: 'RSA_generate_key_ex' has been explicitly marked deprecated here
      260 | OSSL_DEPRECATEDIN_3_0 int RSA_generate_key_ex(RSA *rsa, int bits, BIGNUM *e,
          | ^
    /usr/local/include/openssl/macros.h:182:49: note: expanded from macro 'OSSL_DEPRECATEDIN_3_0'
      182 | #   define OSSL_DEPRECATEDIN_3_0                OSSL_DEPRECATED(3.0)
          |                                                 ^
    /usr/local/include/openssl/macros.h:62:52: note: expanded from macro 'OSSL_DEPRECATED'
       62 | #     define OSSL_DEPRECATED(since) __attribute__((deprecated))
          |                                                    ^
    openssl.c:1549:9: warning: 'EVP_PKEY_set1_RSA' is deprecated [-Wdeprecated-declarations]
     1549 |    if (!EVP_PKEY_set1_RSA(key, rsa))
          |         ^
    /usr/local/include/openssl/evp.h:1345:1: note: 'EVP_PKEY_set1_RSA' has been explicitly marked deprecated here
     1345 | OSSL_DEPRECATEDIN_3_0
          | ^
    /usr/local/include/openssl/macros.h:182:49: note: expanded from macro 'OSSL_DEPRECATEDIN_3_0'
      182 | #   define OSSL_DEPRECATEDIN_3_0                OSSL_DEPRECATED(3.0)
          |                                                 ^
    /usr/local/include/openssl/macros.h:62:52: note: expanded from macro 'OSSL_DEPRECATED'
       62 | #     define OSSL_DEPRECATED(since) __attribute__((deprecated))
          |                                                    ^
    openssl.c:1592:7: warning: 'RSA_free' is deprecated [-Wdeprecated-declarations]
     1592 |       RSA_free(rsa);
          |       ^
    /usr/local/include/openssl/rsa.h:293:1: note: 'RSA_free' has been explicitly marked deprecated here
      293 | OSSL_DEPRECATEDIN_3_0 void RSA_free(RSA *r);
          | ^
    /usr/local/include/openssl/macros.h:182:49: note: expanded from macro 'OSSL_DEPRECATEDIN_3_0'
      182 | #   define OSSL_DEPRECATEDIN_3_0                OSSL_DEPRECATED(3.0)
          |                                                 ^
    /usr/local/include/openssl/macros.h:62:52: note: expanded from macro 'OSSL_DEPRECATED'
       62 | #     define OSSL_DEPRECATED(since) __attribute__((deprecated))
          |                                                    ^

Add missing "#include <stddef.h>" to fix the build on macOS

... after 19d7684ca10f.

Prevents:
gateway.c:845:18: error: call to undeclared function 'offsetof'; ISO C99 and later do not support implicit function declarations [-Wimplicit-function-declaration]

Fixes SF#150.

GNUmakefile.in: Shorten warning

GNUMakefile.in: Let the install target work if no group is specified