m_whois: indicate if users are affected by +V to avoid confusion

Add basic implementation of need_auth quarantine

This adds a new flag, need_auth, working similar to need_sasl; however,
instead of rejecting unauthenticated connections entirely, they are
allowed to connect but cannot meaningfully interact with users/channels
other than services or +T clients (see below) until they log in.

This is still a rough implementation that only touches core and a core
module. Specifically, unauthenticated users with need_auth cannot:

- join channels
- /knock channels
- be invited to channels
- message channels
- message users other than services
- receive messages from non-service users

Currently, no restrictions beyond these are applied. This might result
in odd behaviour if need_auth users log out while already joined to
channels. Ideally, services should disallow that.

Additionally, the need_sasl flag causes the above as well as its usual
effect. This will affect users attempting to log out after connecting.

Details on modes / numerics touched:

User mode +V is added (only settable on burst) to implement this.
This allows the need_auth status to be broadcast without requiring any
protocol adjustments, so e.g. services may make use of it.

Numeric 719 is added for being unable to send to +V users.
This appears to be unused so far, and is somewhat close to the +g
numerics which aren't a perfect fit but it could be worse.
(ERR_NOSUCHNICK with a custom message could be acceptable, but at least
irssi has custom handling for this, so users might not see the message.)

User mode +T is added to be able to talk to +V users normally.
This is intended for bots that automatically message users on
connection, and should usually be made an oper-only umode via
configuration.
Services (and server notices) do not require umode +T.

Use HTTPS instead of plain HTTP for freenode.net

s#http://(www.)?freenode.net#https://freenode.net#g

BUGS: adjust bug reporting URL

We've been using GitHub for a while. The fact that this was noticed only
now says a lot about how many people actually use the documentation
available in-tree.

Or maybe our in-tree documentation is just bad. Actually, that is
probably why people don't use it.

Merge PRs #23, #25, #131 and #133 of https://github.com/freenode/ircd-seven

These are all simple adjustments to message / documentation content.

Change help docs

m_list: fail on invalid parameters

Commands such as "LIST channel" would formerly be interpreted
as an ELIST command without valid filters, i.e. the entire channel list
would be returned. This is usually not the desired behaviour.

Instead, return a start-of-list numeric, followed by a notice informing
the user their parameters were invalid and an end-of-list numeric.
This sort of mirrors the behaviour exhibited by an attempt to
/list #channel, where #channel does not exist.

Fixes #132.

1.1.6

There have been changes to the ircd core; bump the version number
appropriately.

Add +S to channel mode help

Merge branch 'opmoderate' of https://github.com/mquin/ircd-seven

Merge branch 'fix-cidr' of https://github.com/AbstractBeliefs/ircd-seven

Merge branch 'fix-hints' of https://github.com/AbstractBeliefs/ircd-seven

Merge branch 'fix-nickchangeban' of https://github.com/AbstractBeliefs/ircd-seven

Make 5614c9e6f0b (opmod as fake cprivmsg) optional

This adds a channel { ... } option, opmod_send_cprivmsg, disabled by
default for compatibility reasons.

Merge branch 'kline-api'

Merge branch 'i-like-cheese'

i-like-cheese has seen production use, as has master. The two branches
have diverged a bit. Merge them while they can still be merged without
inducing major headaches.

(There are no conflicts, but some fixes were duplicated.)

Remove duplicated notify_banned_client

Merge branch 'sasl-usercloak-kline' into kline-api

remove duplicated kline check code from modules

Merge branch 'targeted_kline' into kline-api

Add the same monstrosity to core/m_ban

m_kline: check only the added K-line

Improve cidr matching in match.c

sasl_usercloak: check K-lines after host change

Add check_one_kline, expose notify_banned_client

1.1.5

Make $j match even if user is +e in the target channel, to prevent use as an invisible banlist

Generate fingerprints for untrusted certificates

yes, I know. they're fingerprints, it doesn't matter.

Generate fingerprints for chained certificates with an unknown root

chantrace: really don't disclose oper status

remove m_encap from makefile

Merge m_encap into the ircd core so that it does not cause issues with modrestart

monitor: additional cleanup pointed out by mr_flea

monitor: fix the resource leak properly, unlike the moronic elemental-ircd developers

remove EGD support and fix build with more recent openssl

Update numeric 435 to reflect +q stopping /nick

Update hint strings where possible

Fix cidr parsing where masks cannot be integerised

add @ prefix to op-moderated (+z) messages to distinguish them from regular channel traffic

Clearer MLOCK response - point to CS' MLOCK help.

I think it makes sense to give users a pointer on how to find out what MLOCK is
and how to change it.

Link to registration KB entry in 477/486 responses.

When telling the user they can't join a channel / message a user because
they're not identified to services, a link to explain more info seems helpful.

Revert "recheck users after applying SASL account cloaks"

This reverts commit 4d401d3c60019cf96b07a012106cab9678b7a79d.

Hide some of the RPL_ISUPPORT strings when respective modules are unloaded

remove m_encap from makefile

oops

monitor: additional cleanup pointed out by mr_flea

monitor: fix the resource leak properly, unlike the moronic elemental-ircd developers

Explicitly drop SSLv3 connections (SSL_OP_NO_SSLv3) - might break TLS-capable clients that still depend on SSLv23 handshake

Generate fingerprints for untrusted certificates

yes, I know. they're fingerprints, it doesn't matter.

Generate fingerprints for chained certificates with an unknown root

Merge m_encap into the ircd core so that it does not cause issues with modrestart

chantrace: really don't disclose oper status

recheck users after applying SASL account cloaks

(so K-lines on them will take effect properly)

Fix challenge oper for low-rank staff

Bring testing for pre-existing oper stats in line with the m_oper module

1.1.4

don't die if an admin whoises a user mid-challenge

monitor: additional cleanups, and add a missing free_monitor() in m_monitor

(cherry picked from commit 7485e86073a77f03191e417d5975a5670793a3eb)

sigio: use siginfo_t instead of struct siginfo, per glibc commit r4efeffc1d5

(cherry picked from commit a85566b1519993f1bea1b4c7f576c7b530cd62cc)

cherry-pick security fix from chary d06dab5

SASL: Disallow beginning : and space anywhere in AUTHENTICATE parameter

This is a FIX FOR A SECURITY VULNERABILITY. All Charybdis users must
apply this fix if you support SASL on your servers, or unload m_sasl.so
in the meantime.

Merge pull request #15 from mniip/sasl

m_sasl: relay certfp (SASL EXTERNAL) and host information

m_sasl: relay certfp (SASL EXTERNAL) and host information

chmode: Allow mode queries on mlocked modes.

Check mlock at the same point where chanops are checked (except for
querying a +e/+I list) and abstract this check into a function.

In particular, /mode #channel f is now again allowed if +f is mlocked.

Taken from f3b3ad0b07251e703e526f494c18f9e4286e1bd3 by jilles.

m_capab: fix a possible remote crash triggered by the CAPAB parsing code.

1.1.3

Apply extended-join client cap to QJM joins

Don't treat +r specially when displaying supported channel modes.

This used to be only advertised if a service was linked, which made
sense in ratbox when +r was only settable if services were available.
Now, however, +r is always available and so should always be advertised.

Conflicts:

src/chmode.c

Disallow mIRC italics in channel names when disable_fake_channels

Don't allow +Z to be set by default_umodes

1.1.2

Show kline duration to opers in stats and testline output, now that it's not in the user reason

remove spaces from version string, to make it machine parseable again

chantrace: don't disclose oper status where it shouldn't be visible

Don't disclose kline durations to users

1.1.1

reinstate +M hiding that got lost during a charybdis merge

1.1.0

1.1.0_rc4

Update NEWS

Make flood control settings configurable by those who know exactly what they're doing.

update .gitignore

fix list

1.1.0 rc3

Merge charybdis trunk

Add endian test to autoconf and convert crypt to use it.

Fix memory leak of operator certfp fields.

newconf: fix a warning

newconf: fix certificate fingerprint auth.

yy_oper->certfp was not copied into yy_tmpoper->certfp, thus the information was lost and certfp auth was never really working, since the string was always empty.

Add blowfish to libratbox crypt.

Also change u_int*_t to uint*_t whilst I'm here.

Remove nickTS from extended-join.

Fix extended-join not sending any joins at all.

Note that IsCapable(x, NOCAPS) always returns true.

hunt_server: Disallow wildcarded nicknames.

Any hunted parameter with wildcards is now assumed
to be a server, never a user.

Reasons:
* fewer match() calls
* do not disclose existing nicknames
* more intuitive behaviour for CONNECT

m_trace has a copy of some hunt_server logic in it
(for the RPL_TRACELINK reply), so adjust that too.

Fix compiler warnings.

Move list-related isupport items to the list module itself.

Make SHA512 the default for mkpasswd again, as SHA512 support is guaranteed to *always* be in libratbox.

Overhaul extensions/m_mkpasswd. It now allows SHA256/SHA512 hashes. DES support is removed, as it is insecure and can be broken on my desktop in about 20 minutes.

Add SHA256/SHA512 support to crypt.c and fix up the MD5 component (it seemed to have been broken). In addition, unconditionally use the libratbox crypt.

cosmetic fix: Blowfish doesn't use CamelCase

Add topic TS and channel TS constraints for /LIST.

Implement operspy for /LIST.

Fix multiple RPL_LISTEND replies when aborting a /LIST.