httpauth.py, cookies.fhtml: Randomize CSRF token to prevent BREACH.

The use of `gzip' compression by servers, combined with the possibility
of inserting request parameters in responses can leak information from
responses, notably the CSRF token.  We can defend this by splitting it
into two XOR pieces and combining them together again in the server.

httpauth.py: Use `base64' module's built-in character twiddles.

I hadn't noticed before: `b64encode' has an optional argument which you
can use to change the `+' and `/' characters.  Use them instead of a
post-pass with `str.replace'.

httpauth.py: Allow configuration of the hash function.

wrapper.fhtml: Tell mobile browsers that we'll work on their screen.

chpwd.js: Provide the CAPTUREP argument to `addEventListener'.

Otherwise MicroB, at least, raises an exception and none of the
remaining JavaScript will run.

httpauth.py, cmd-cgi.py, list.fhtml: Implement explicit logout action.

httpauth.py: Abstract out setting the various cookie attributes.

We'll want to use them elsewhere.

cmd-cgi.py: Don't allow caching of the `list' page.

May further reduce the possibility of proxies crossing wires over.

userv.rc: Example Userv configuration dropping.

Makefile: Add some missing source files to the list.

This isn't working out.  There must be a better way.

agpl.py (dump_dir): Replace unpleasant control-flow variable with an escape.

If only Python had a proper `goto'.

agpl.py (filez): Slightly better detection of toplevels.

agpl.py (filez): Check the exit code from the command.

agpl.py: Document and prettify.

No actual code changes.
agpl.py: Document and prettify.

No actual code changes.

wrapper.fhtml: Put `html' in lowercase in the DOCTYPE declaration.

agpl.py: Fix up symbolic links between directories being dumped.

This should make deployment from generated tarballs easier.

agpl.py: Exclude the root directory from listers.

Otherwise we'll get a strange number of them.  Instead, include it
manually.

agpl.py: Include a `MANIFEST' file explaining where things came from.

cgi.py: Implement a wrapping operation.

That is, a format control obtained as an argument can be invoked,
passing it a number of other formatting controls, which it can then
invoke in turn as it wishes.

No use for this yet, but it seems like a cool thing to have lying about.

cgi.py: Export the template cache to the templates.

Now they can invoke each other with `~=TMPL[NAME]@?'.

format.py: Allow general format controls more widely.

In particular, allow them as inputs to `compile', and to the `~{~}' and
`~?' directives.

cgi.py, operation.py, list.fhtml: Request-level policy switch.

  * Introduce a new configuration variable `ALLOWOP' with a policy flag
    for each request type;

  * have `BaseRequest.check' ensure that the corresponding policy flag
    is set;

  * export this policy switch to the template language; and

  * only show widgets for the permitted operations in the web interface.

The commands still appear in the userv/SSH interface, which is a bit
gnarly.

operation.py: Refactor `polswitch' a little.

We're going to use this structure again.

chpwd: Put `user' into template arguments when run from command-line.

cgi.py: Fix documentation for `~:H' format operation.

Once upon a time it was going to do form-urlencoding, but it turns out
that quotification is much more useful.

cgi.py: Escape quote signs in `htmlescape' and `html_quotify'.

This helps protect against XSS attacks.

format.py: Document the formatting directive syntax.

This was always meant to be here, but got missed out in the rush.

crypto.py: Another missing import.

service.py: Yet more unqualified names needing qualification.

Maybe this is the last batch.

Fix some stupid unknown-variable errors.

Leftover from the split into separate modules.

.gitignore: Ignore the `.pyo' files left by `python -O'.

chpwd: Set default config file from environment variable `CHPWD_CONFIG'.

This is more convenient to set from webserver CGI configurations and SSH
`authorized_keys' files.

cmd-cgi.py: Typo in help message for the CGI `source' command.

cmd-admin.py: Add `source' command to remote command context.

Now remote-control clients can fetch our source code too.  Question:
should the master instance fetch source code for all of its satellites?

Put the user's name in post-authentication requests.

In GET requests, it goes in the path; for POST requests, it can go in
`%user'.  This is to prevent caches from returning the wrong pages.  I
feel a bit stupid about not fixing this earlier.

Keep track of whether a CGI request is carried over SSL.

If it is, then tie the cookie so that it's only returned to us over
SSL-encrypted links.

cgi.py (cookie): Exclude attribute keys whose value is false.

cgi.py: Fix stupid typo so that HTTP status codes are returned properly.

*.fhtml: Use double quotes for HTML attributes.

Makes them highlight better in Emacs.

*.fhtml: Use proper apostrophes instead of the awful ASCII one.

cookies.fhtml: Use correct link for the source code archive.

cgi.py: Remove defunct `html' function.

cgi.py: Remove the old error reporting machinery.

It's all in templates now.

Makefile: Update the `auto.py' symlink correctly.

Initial commit.