Don't refer to the "trust" mechanism as "experimental"

.. as it has been around "for ever".

Bump copyright

Declare HTTPS inspection non-experimental

configure: Bump copyright

configure: Bump SOURCE_DATE_EPOCH

Declare 3.0.34 stable

ChangeLog: Bump copyright

ChangeLog: Add entries for Privoxy 3.0.34 stable

update references to the MBED-TLS library source code

eg. https://tls.mbed.org/ redirects to https://www.trustedfirmware.org/projects/mbed-tls/
and
https://github.com/ARMmbed/mbedtls redirects to https://github.com/Mbed-TLS/mbedtls

update ftp.pcre.org references to the new sourceforge address

The original PCRE library is unmaintained and ftp.pcre.org is no more.

https://github.com/PCRE2Project/pcre2
   As well as downloading from the GitHub site, you can download ...
   the older, unmaintained PCRE1 library from an unofficial mirror at
   https://sourceforge.net/projects/pcre/files/pcre/

doc nit: no longer so many warnings for implicit-fallthrough

The old pcre code included with Privoxy had lots of fallthroughs
but that code is gone and the only implicit-fallthrough left is:

w32log.c: In function ‘LogWindowProc’:
w32log.c:1189:27: warning: this statement may fall through [-Wimplicit-fallthrough=]
 1189 |          g_bShowLogWindow = wParam;
      |          ~~~~~~~~~~~~~~~~~^~~~~~~~
w32log.c:1190:7: note: here
 1190 |       case WM_SIZE:  /* note: implicit-fallthrough */
      |       ^~~~

Switch from the mbedtls 2.16 branch to 2.28

https://github.com/Mbed-TLS/mbedtls/releases/tag/v2.16.12
  This is the last release of the 2.16 long-time support branch.
  Users who want a long-time branch should move to mbedtls-2.28,
  which is backward-compatible and will be supported for at least
  3 years.

privoxy-log-parser: Properly highlight a log message that now has a period

socks5_connect(): Add periods to a couple of log messages

Add #201: Add an action to change the trusted-cas-file for a section

Bump copyright

accept_connection(): Add missing space to a log message

bind_port(): Add period to a log message

drain_and_close_socket(): Add periods to two log messages

Bump copyright

Initialize ca-related defaults with strdup_or_die()

... so errors aren't silently ignored.

Add Chakib Benziane as contributor

Disable filter{banners-by-size} for .freiheitsfoo.de/

privoxy-log-parser: Highlight the socket number in 'debug 16' messages

privoxy-log-parser: Highlight the socket number in 'debug 32768' messages

Bump copyright

make_path: Use malloc_or_die()

... in cases where allocation errors were already fatal anyway.

Disable filter{banners-by-size} for freebsdfoundation.org/

Bump copyright

OpenSSL generate_host_certificate(): Use X509_get_subject_name()

... instead of X509_get_issuer_name() to get the issuer for generated
website certificates so there are no warnings in the browser when using
an intermediate CA certificate instead of a self-signed root certificate.

Problem reported and patch submitted by Chakib Benziane.

Rebuild config file

Bump copyright

Rebuild docs

Add avoidr as contributor

config: Fix the documented ca-directory default value

Reported by avoidr.

Rebuild docs

Mention bundeswehr.de filter in the user manual

uagen: Update BROWSER_VERSION and BROWSER_REVISION to 102.0

... to match the User-Agent of the current Firefox ESR.

Merge Debian 3.0.33-2 and 3.0.33-3 changes.

Disable fast-redirects for consent.youtube.com/

Block requests to ups.xplosion.de/

user.action: Add copyright information

user.action: Add example section for the bundeswehr.de filter

uagen: Explicitly document that changing the 'Gecko token' is suspicious

uagen: Consistently use a lower-case 'c' as copyright symbol

uagen: Bump copyright

uagen: Add 'aarch64' as Linux architecture

default.filter: Bump coypright

Block requests for elsa.memoinsights.com/t

Fix a typo in a test

Add a filter for bundeswehr.de

privoxy-log-parser: Highlight the Crunch reason only once

Previously the "crunch reason" could also be highlighted when
the URL contained a matching string. The real crunch reason
only occurs once per line, so there's no need to continue
looking for it after it has been found once.

While at it, add a comment with an example log line.

Disable fast-redirects for launchpad.net/

Add moneybanker.fr as Bronze level sponsor

Unblock .eff.org/

privoxy-log-parser: Highlight 'Client successfully connected over TLSv1.3 (TLS_AES_128_GCM_SHA256).'

privoxy-log-parser: Higlight 'Server successfully connected over TLSv1.3 (TLS_AES_256_GCM_SHA384).'

privoxy-log-parser: Bump version to 0.9.5

Stop unblocking .org/.*(image|banner) which appears to be too generous

It let requests like:
https://stats.noblogs.org/piwik.php?action_name=anti%20gentrifizierungs%20fest&idsite=10175&rec=1&r=220192&h=17&m=7&s=44&url=https%3A%2F%2Fmuellemcalling.noblogs.org%2F&urlref=https%3A%2F%2Fmuellemcalling.noblogs.org%2Finfostande%2F&_id=&_idn=1&_refts=0&send_image=0&cookie=1&res=1366x768&pv_id=eqr7jX&pf_net=7&pf_srv=3&pf_tfr=2281&pf_dm1=156
pass.

The example URL http://www.gnu.org/graphics/gnu-head-banner.png is
already unblocked due to .gnu.org being unblocked.

Unblock adfd.org/

privoxy-log-parser: Highlight 'Client socket 21 is no longer usable. The server socket has been closed.'

templates: Fix spelling of 'available' in comments

default.action.master: Fix a couple of spelling errors in comments

configure.in: Fix spelling of 'program'

windows/MYconfigure: Fix spelling of 'difference' in a comment

windows/privoxy_winthreads.nsi: Fix spelling of 'original'

windows/WinMessages.nsh: Fix spelling of 'supported'

privoxy-log-parser: Highlight 'Reducing the chunk offset from 16219 to 128 after flushing 16091 bytes.' completely

handle_established_connection(): Improve an error message slightly

Use parentheses after function name in init_domain_components()'s description

parse_http_url(): Add spaces in a comment

privoxy-log-parser: Highlight: 'Reducing the chunk offset from 1096654 to 32704 after discarding 1063950 bytes to make room in the buffer.'

privoxy-log-parser: Highlight 'The last 6945 bytes of the encrypted request body have been read.'

read_https_request_body(): End more log messages with periods.

read_http_request_body(): End more log messages with periods.

privoxy-log-parser: Highlight 'Buffering encrypted client body. Prepared to read up to 2236 bytes.'

receive_and_send_encrypted_post_data(): Add periods to a couple of log messages

privoxy-log-parser: Highlight 'Forwarding 157 bytes of encrypted request body.'

privoxy-log-parser: Highlight 'Prepared to read up to 157 bytes of encrypted request body from the client.'

send_https_request(): Add periods to a couple of log messages

Bump copyright

Add OpenSSL to the list of libraries that may be licensed under the Apache 2.0 license

... in which case the linked Privoxy binary has to be
distributed under the GPLv3 or later.

Factor send_server_headers() out of handle_established_connection()

remove_chunked_transfer_coding(): Refuse to de-chunk invalid data

Previously the data could get corrupted even further.
Now we simply pass the unmodified data to the client.

Improve the handling of chunk-encoded responses

... by buffering the data even if filters are disabled and
properly keeping track of where the various chunks are supposed
to start and end.

Previously Privoxy would merely check the last bytes received
to see if they looked like the last-chunk.

This failed to work if the last-chunk wasn't received in one
read and could also result in actual data being misdetected
as last-chunk.

Should fix: SF support request #1739
Reported by: withoutname

Rebuild docs

Rebuild AUTHORS

user-manual: Bump copyright

Add documentation for the client-body-tagger action

Sponsored by: Robert Klemme

Add a client-body-tagger action

... which creates tags based on the content of the request body.

Sponsored by: Robert Klemme

When client body filters are enabled, buffer the whole request

... before opening a connection to the server.

Makes it less likely that the server connection times out
and we don't open a connection if the buffering fails anyway.

Sponsored by: Robert Klemme

Merge Debian 3.0.33-2 (UNRELEASED) changes.

receive_and_send_encrypted_post_data(): Improve a log message to make the origin more clear

read_https_request_body(): Improve a couple of log messages

... to make their origin more clear.

Sponsored by: Robert Klemme

receive_and_send_encrypted_post_data(): Additionally check for data being available

Previously we relied on the TLS library reading more data from
the wire than we read in which case the is_ssl_pending() check
worked.

Sponsored by: Robert Klemme

ssl_send_certificate_error(): Don't crash if there's no certificate information available

This is only relevant when Privoxy is built with wolfSSL 5.0.0 or later.

Earlier wolfSSL versions or the other TLS backends
don't seem to trigger the crash.

Bump copyright

Bump copyright

FEATURE_STATISTICS: Include all requests in the statistics

... if mutexes are available.

Previously in case of reused connections only the last request
got counted. The statistics still aren't perfect but it's an
improvement.

Rename the mutex used to protect the block reason statistics

... to be more precise so I can use the previous name
in a following commit.