cgi/actions.c, lib/client*.[ch]: Don't use priv connection to check passwd.

If the CGI runs as the main `jukebox' user, then it can connect using
the special `.../private/socket', and the `find_server' function
arranges to do this if it can and no network address has been assigned
in the configuration.

The server doesn't bother to check passwords from clients on privileged
connections.  The result is that if the CGI program runs as the
`jukebox' user, its attempt to check the end-user's password through the
usual login machinery is stymied, since the library automatically sets
up a privileged connection and then the server ignores the password
entirely.  The end result is that, if you set things up in this way,
anyone can log into the CGI program with any known user and any password
at all, at which point they're given a cookie which can be used in
direct communication with the server.

Fix this as follows.

  * Introduce a new version (in the correct namespace for a change) of
    `find_server' which accepts some flags to guide the choice of server
    addresses.

  * Add a flag for the new `disorder_find_server' function to prevent
    trying the privileged socket.

  * Add a function to the client interface (and a bit of state to the
    client structure) to instruct the connection functions not to use a
    privileged connection even if they can.

  * Get the CGI program to use this new function when logging in with a
    password, so that it will always be checked.

Cookies are checked properly, even from privileged clients, so there's
nothing to fix there.

scripts/sedfiles.make, doc/disorder.cgi.8.in: Say where the file is.

The manpage used to say that the Makefile doesn't install the CGI
program anywhere, which hasn't been true for a while.  Remove the old
lies and just say where it was put.

configure.ac, lib/mem.c: Compatibility with older versions of libgc.

The `GC_get_all_interior_pointers()' function and its friends were
introduced after the libgc in Debian wheezy (which is quite impressive
seeing as they were added in 2009).  Make sure it's there; use the old
now-deprecated variable directly if it isn't.

Respond to libgc deprecation warning

Add nonnull attribute to a few function args.

Tinker with loop bounding to placate GCC 5.2.1

gzip -n in aid of reproducible builds

Warning tidy-up for FreeBSD.

- if dlfunc is available use that. Allows -Werror to be re-enabled.
- use modern struct member initializers
- cope with FD_SETSIZE being explicitly unsigned
- remove stray brackets
- remove unused objects
- use %ju to print sig_atomic_t, it might be bigger than int

Assign default http/cgi directories

FreeBSD doesn't have IFF_DYNAMIC

FreeBSD fixes

Update list of libdb versions.
Bodge in -liconv.

Placate gcc -flto

I don't think either of these are real bugs, but it keeps the compiler
happy.

init: source lsb init functions

Placates lintian a bit.

Suppress bogus doc-base registration warnings from lintian.

Remove redundant entry from .desktop file

Enable hardening flags harder.

Now with a workaround for broken GCC diagnostic.

debian: use debian compiler flags

debian: don't depend on essential packages

disorder.h: more consistent approach to function attributes

gitignore

tests: python unbuffered revisited

Set AUTOMAKE_OPTIONS=subdir-objects where necessary.

Windows support for command line client

Non-ASCII characters not properly supported.

Provide for a network initialization step

table search: cope without typeof

Remove some redundant includes.

Add uint16_t if missing.

Move up file inclusion.

UTF-16 support

Synchronous client now uses socketio sources and sinks instead of stdio

inputline variant which uses a source

Sources, by analogy with sinks

socketio sink

More general error handling for sinks

Buffered socket IO wrappers

Includes a nod to win32 API.

More error string formatting.

More conditional header inclusion.

Typos.

Commit version string files.

Allows for platforms with a rubbish build system.

Use private *printf functions a bit more widely.

C89 friendly declarations

Again, not a complete sweep.

log: more general error message formatting

Cope with various header files being missing.

Not a complete sweep - only things that will work on Windows have been
updated.

doxygen: remove obsolete config file entries

CHANGES

uaudio: newer compiler spotted a short memcpy

Bah

playrtp: support multiple unicast mode

server: implement multiple-unicast RTP

Updates the protocol definition and implementation and
exposes the uaudio-rtp rtp_mode variable in the config.

speaker: new comments to add/remove RTP recipients

client.c: new disorder_client_af reveals connectivity type

uaudio: RTP multiple unicast mode

speaker: protocol structure now has a union for different arg types

gitignore

CHANGES

uaudio: pulseaudio support

Playback only, no volume setting.

disobedience: menu item to select network playback API

disobedience: more sensible naming in menu setup

playrtp: --api option instead of a new option for every audio API

uaudio: more sophisticated choice of default playback API

autogen.sh: use /bin/sh

doc: correct & move description of raw format players

Remove now-redundant libao dependency.

gitignore

disobedience needs -lm

Explicit requirement only emerges in recent platform though.

Include version string in background program logs

no drag + drop

DisOrder 5.1.1

dist: wheezy

debian: always run configure

Prevents trouble if configure has been run but with non-Debiany
arguments.

autogen: use autoreconf -si

Merge tag 'branchpoint-5.1' into release

Branch point for 5.1 release.

Conflicts:
configure.ac
debian/changelog

CHANGES: reflect 'recent' bug fixes

debian/control: db4.8 is obsolete in wheezy.

The current version is 5.1, and that seems to work OK.

server/speaker.c: Only copy whole frames into collection buffers.

At least the ALSA playback function gets into a real mess if a buffer
contains a partial frame: it leaves the partial frame behind, but is
called again until the buffer is empty, resulting in an infinite loop.

Thanks for Joe Birr-Pixton for helping diagnose this bug and coming up
with the right fix.

lib/resample.c: Quieten some warnings better.

Newer GCC isn't fooled by `mumble = 0;' any more.  Apparently `if
(mumble) {}' works.

server/rescan.c: Remove tracks which no longer have a player.

If you ever add a player with an overly broad pattern, and it matches a
file which isn't actually an audio file but is legitimately part of the
directory tree, then there's no way of getting it out of DisOrder's
database short of hacking the files directly.

lib/configuration.c: Allow resetting `player' and `tracklength' lists.

Saith the manual

| If player is used without arguments, the list of players is cleared.

but the code disallows such requests.  So it's impossible to override
the player lists.

disobedience: tinker with About... box

disobedience: add a disobedience.desktop file

A batch of copyright date updates.

uaudio: fake blocking for play callbacks

This satisfies timing expectations in the face of very large downstream
buffers.

alsa: bump start threshold

With the default (1) PulseAudio plays a little bit, runs out, and sulks.

alsa: set volume via Master rather than PCM.

PulseAudio only has Master.  AFAICS none of this stuff is documented
so who knows what you're supposed to do?

CHANGES

client: use privileged socket if possible

This allows the removal of the client dependency on libdb.

server: add a private socket for root

root will try and use it if possible; anything connecting on it
is allowed through without knowing a password.

The jukebox user will be able to use it too although it doesn't
actually try.

Both these users have RW access to the database so they aren't
being given any privilege they don't have already here.

The speaker socket moves to the same private directory.

Move --wait-for-root to disorderd.

This (undocumented) option is only used in testing and is
one of the things that causes the client package to depend
on the server's version of libdb.

build: distcheck-clean

gitignore

build: various fixes for ubuntu 12.10/gcc 4.7

- One_old_user() is obsolete and uses nonexistent functions;
  I guess earlier GCC removed it before checking for errors.
- Remove or use various unused objects that GCC is now better
  at spotting.
- Makefile -l ordering fixes.

build: fix test for ancient GCC bug

build: create config.aux in autogen.sh

Required on lenny.  Presumably the later autotools create it automatically.

docs: rework protocol documentation a bit.

It is now a bit more precise and self-contained.
It could really do with some BNF though.

server: don't report wstat for processes killed by the server

docs: update CHANGES for Disobedience user management fix.

disobedience: grey out user management if it won't work.

This already worked for users without the 'admin' right but failed on
remote connections if the server had remote_userman set to 'no' (which
is the default).  The result was pretty ugly, the user management
window opened but would repeatedly cause protocol error popups.

The implementation depends on the server change in
b60ceb3caecce2c86c484e6173fb1428b71d456a.

It will still go wrong if remote_userman is changed during the
server's lifetime, presumably a fairly rare event.

disobedience: improve eclient error strings

The remote server details are now pushed to the end and the status
code is no longer repeated.

server: tidy up error codes

Send 510 in a variety of authentication-failed cases.

server: docs: remove deprecated configuration and user upgrade.

User upgrade code has been removed.

allow, restrict and trust only affected the user upgrade code.  They
are now removed completely.

prefsync and lock have been non-functional for years.

--wait-for-device and gap, both ugly hacks, were still functional but
long-since deprecated.

Merge branch 'protogen'