raw: Fix raw links to branches with a slash in their name

When a branch has a slash in the name, the raw servlet was not able
to find the path under that branch. This is due to the replacement of
the forward slash character for URLs. It was not taken into account
when comparing the branch name later.

This fixes #1290 and its duplicates #1234 and #813.

raw: Fix getPath with trailing slash that was escaped

While this may be an unlikely scenario, let's still prevent this.
When a link was created for a path that ends in a trailing slash,
that trailing slash would be replaced with the `forwardSlashCharacter`.
But in getPath that final slash would be transformed back *after* the
check to chop off trailing slashes. This is now switched so that such a
trailing slash is also chopped off.

raw: Fix getPath with lead-ins or missing trailing slashes after the branch.

raw: Refactor RawServlet:getBranch and :getPath parameters

Refactor the `getBranch` and `getPath` methods to take a String as
second parameter, which is the already sanitised path info. Don't get
the path info from a passed in request anymore.

The methods are only ever called from within `processRequest`, which
already does some checks on the path info, like removing a leading
slash character. So no need to do that every time again the methods
and passing a request for that.

raw: Fix exceptions when no path info is given to raw servlet

raw: Strip leading and trailing slash from repo and path names for link

When creating a link for raw display, a trailing slash is stripped from
the end of the base URL. Also do this for the repository, as well as
stripping leading slashes from the repository and the path values.

build: Upload coverage report also to CodeClimate and Codacy

Merge pull request #1350 from flaix/upgrade-mockito

deps: Upgrade dependency Mockito to 2.28.2.

deps: Upgrade dependency Mockito to 2.28.2.

Merge pull request #1349 from flaix/issue-1150

Fix 1150: Use external link instead of internal wiki link

Fix 1150: Use external link instead of internal wiki link for tickets_setup

The `tickets_overview` page links to the `tickets_setup` page using a
wiki style internal link: `[[tickets setup]]`. Whatever library is
interpreting that is creating a link under the assumption that the
resulting page will be called `tickets-setup.html`. But that is not the
convention used by Moxie, which will use the source file name and thus
create a file called `tickets_setup.html`.

I was not able to find out which of the many libraries included is the
one that parses this file and creates the link. Messy.

There are two solutions. One is to configure the Moxie site build to
generate the file as `tickets-setup.html`. But this would break any
links to that page that might exist somewhere on the Interweb. So I
opted for the other option, which is to not use wiki syntax for the
reference to the local page but normal markdown syntax. This is not
a wiki, afterall.

Merge pull request #1348 from flaix/ci-coverage

build: Create single XML JaCoCo report

ci: Enable upload to Codecov.io in CircleCI J8 build.

build: Activate JaCoCo explicitly for Ant build

When building with Ant, instead of Moxie, JaCoCo is not included in the
classpath. So explicitly initialise the full `jacocoant.jar` from the
`.moxie` repository.

For this we had to switch the dependency to use the `nodeps` jar which
includes all dependencies.

build: Create single XML JaCoCo report

This can be uploaded to coverage services like Coveralls etc.

Add contributing guidelines

Add some guidelines for contributors regarding pull requests,
commits and code conventions.

Merge pull request #1345 from davehofmann/master

Add service scripts for FreeBSD

Add service scripts for FreeBSD

Reset build identifiers for next point release cycle

Prepare 1.9.1 release

📖docs: Add update of service scripts in upgrade GO documentation

Also: release notes.

🏃 run: Fix Linux service scripts to use classpath and class

Update the service scripts to use `-cp` and specify the GitBlitServer
class, instead of the `-jar` parameter.

Fixes #1333

🏃run: Use quotes around class path in scripts

While most systems will not need the class path passed to the JVM with
the `-cp` parameter to be in quotes, apparently some exist where that
will not work without the quotes, e.g. FreeBSD.
So always use quotes for the class path in all scripts.

Issue #1333

Change tests in shell scripts to be more compatible with Bourne shell

This is needed for the scripts to work in Alpine Linux, which
comes with a Bourne shell.

Delete password from memory in AuthenticationManager

Zero out the password to remove it from memory after use.
This is only a first step, implementing it for one method:
`AuthenticationManager.authenticate(String, char[], String)`.

🦟  fix: Password hash upgrade kills existing passwords

The upgrade of a MD5 stored password hash to a PBKDF password hash
destroys the stored password. The has check zeroes out the password that
is tested, so that the new hash is built over the zeroed out value.

This fix prevents that an also adds a check to the test.

Fixes #1335

docu: Fix typo

Switch Eclipse repositories to HTTPS.

The Eclipse maven repositories changed to only allow HTTPS and not
serve HTTP anymore. HTTP will redirect to HTTPS, which moxie does
not handle well and fails.

So the registered Eclipse repositories are changed to 'https://'
transport.

Fixes #1334

Fix download link in README file.

Reset build identifiers for next point release cycle

Prepare 1.9.0 release

ci: Ignore all branches starting with `release`.

Set the ignored branches pattern to `release*` for the normal ci workflow.

Build: Set GitHub org to `gitblit` for release.

Merge branch 'release-github' into master

Build: Store release version information in file.

If requested, by setting a file name in the `versionInfo`
property, store release version and tag in a file, for
other scripts and programs to pick up.

Doc: Fix change log in built-in docs

Use the same templates as in `buildSite` to generate the change log
in the built-in documentation.

Build: Fix output prints

Add Maven Central to registeredRepositories

Moxie does have these defined by default, but with transport HTTP.
Since January 2020, Maven Central only accepts HTTPS, no HTTP
anymore. So we add them here explicitly, with `https://`.
We add it to the `build.moxie` file, instead of keeping it in a
local `settings.moxie`, so that a CI server can immediately use it.

Doc: Change download button on Readme to point to GitHub

Doc: Remove Google+ from Readme

Since Google Plus doesn't exist any more...

Doc: Update built-in docs with missing pages and links

Add pages for `fail2ban` and GFS to the `generateDocs` target, so that
they also show up in the documentation on GO etc.
Also adjust the links to issues and commits.

Add the replacement of the download base URL.

Use GitHub org property in octokit calls

Add Twitter link to site overview and built-in docs.

Site: Remove link to Bintray update notifications

Site: Change the download URL to GitHub

Site: Remove Google Plus id

Google Plus is gone, so linking to it makes no sense anymore.

Add project property `release.tag` as a global `project.tag`

Add property `release.tag` to keep a generally available property.
The `project.tag` was getting used in many places, so I need a global
definition for it. The property `project.tag`, defined in the target
`tagRelease` could not be reused, since when that target runs, the
version is still a SNAPSHOT version. (And properties don't get
re-assigned.) So instead a new property `release.tag` is defined,
just like `release.name`, which can be only used sensible in a
release stage, i.e. after `tagRelease` ran.

Update the gh-pages branch

The site was generated, but updating the gh-pages branch was included
in the `publishSite` target. So a new target is added and called,
`updateSite`.

Adjust `release.template` for publishing releases on GitHub

The major change is switching from `publishBinaries`, which still
exists and uploads to Bintray, to `releaseBinaries`, which creates
a draft release on GitHub and uploads the binaries.

Another change is some reordering. Now first the binaries are
uploaded, the maven artifacts pubished and the tag and site pages
pushed. Then the GitHub release is made public.
Only after that is the minor version bumped and pushed.

The whole script could use some error checking and stoping when
things go wrong, instead of blindly continuing.

A minor change, and temporary, is that we need and check for Ant 1.9,
as we still build with Java 7.

Add deployment of a release to GitHub

Add Ant tasks and macros to deploy binaries to GitHub,
using GitHub's releases.

Adds an Awk script to extract GH flavoured markdown release notes
from the release.moxie file.

Adds `ok.sh` to the repository so that it is readily available.
This is a Bourne shell GitHub API client, used to create a release
on GitHub and upload the binaries.

Change single quotes to back ticks for formatting

Run build and tests on Java 7.

Merge branch 'ci' into master

Now we can also build on GitHub

ci ignore

ci: Ignore release and gh-pages branches for CI build on push

ci: Add build with Java 7 on Linux

Add a job to run a build with Java 7.
The job currently only runs on Linux.
In order to run on Java 7, an old Ant version is downloaded and
installed. We use moxie+ant for this, so we build with moxie.

Build on matrix of latest Ubunutu and latest Windows.

Currently that is Ubuntu 18.04 and Windows Server 2019.
https://help.github.com/en/actions/automating-your-workflow-with-github-actions/virtual-environments-for-github-hosted-runners

Build as matrix of Java 8 and 11, only.

We cannot build with Ant on GitHub since the provided Ant
version does not run on Java 7.

Build with matrix of Java 7, 8 and 11.

Add ci workflow to build on every push.

Update JGit to versoin 4.5.7.201904151645-r

Correct issue in FAQ page to link to GitHub issue.

Add dependency javax.activation to WAR, manager and fedclient, too.

I actually don't know if it is needed for the manager and fedclient,
but right now I'm going with better safe than sorry.

Add pattern to create links to GitHub commits from release notes etc.

Change issue links in release history to point to correct GitHub issues

Update release notes

Update release notes

Adjust versions of JaCoCo and parboiled to match and work.

Adjust the version of JaCoCo down to 0.8.4 and the version
of parboiled-java up to 1.3.1. They need to match because both
use ASM. This combination has the same dependency on ASM: 7.1.

And it seems to work, at least the docs get generated and the
`moxie test` doesn't fail building the report anymore.

Update test file with MD hashed password

With the feature of passwords getting automatically
upgraded to a hashed version, the default `admin`
password in the test-users file will get stored
as MD5 hashed during test execution. Commit this
change, so that the file isn't always showing up
as changed.

Set .classpath back to moxie generated version.

Update JaCoCo to version 0.8.5 to work when run under Java 11.

Running `moxie test` will crash under Java 11 with JaCoCo 0.7.8.

Merge pull request #1324 from fzs/fix-prefLocale-docsNPE

Two fixes: broken links to docs and preferred language selection

Fix user preferences selecting the wrong preferred locale.

Due to a wrong comparison, when loading the preferred locale in the
user preferences page, in cases like `zh_CN` or `de_DE` the wrong
locale would be chosen.

As with too many things, the code is duplicated on the `UserPage`
and the `EditUserPage`. And they differ. So extract the choosing of
the preferred language for display into a method in the (more up-to-date)
`UserPage` and call that from the `EditUserPage`.

Guard docs pages against bad URLs

If, for example, an external site links to a docs page or a specific
doc page, and the branch that link points to is no longer existing,
an internal error happens due to a NPE.

The NPE is guarded against and a No Docs page is returned.

Add `clone.bundle` as known command, but reject it as not implemented.

Fix NPE when no action can be parsed from the URL

Renames `static final` variables according to convention to be in all
upper case. That makes it easier to see that in an `equals` comparison
the final variable should come first as it will not trigger a NPE.

Also strip parameters from the URL when extracting the repository
name from it. Parameters can not be part of a repository name, and
this way an empty repository name can be detected.

Fixes #1092

:book: Fix link to LDAP sample data LDIF file in setup.

In SSH tests ignore an external SSH tool

The SshDaemonTest would fail under Windows. That is because JGit looks
at the `GIT_SSH` environment variable. If it is set, the tool the variable
is pointing to is used for the SSH connection. This is a problem when
it is set to "Plink" under Windows, because Plink will not recognize the
server key and will not find it in the registry, cached as a known host.
Since a test can/should not add the key to the registry but simply wants
to ignore it, but there is no way to tell Plink to do so, the tests would
fail.

This patch filters the `GIT_SSH` environment variable from JGit's
`SystemReader`, so that the internal SSH client is used.

Merge pull request #1322 from fzs/sshd_update

Update dependencies MINA to 2.0.21 and SSHD to 1.2.0

Update SSHD to fix an issue with hmac-sha2-512. This resolves problems with clients that prefer SHA-512 over SHA-256.

This also updates the dependency on SLF4J to the latest version, as the updated dependency on MINA did also bring in higher SLF4J versions.

Update SLF4J dependency to latest version 1.7.29.

Update SSHD dependency to version 1.2.0.

Update SSHD dependency to version 1.1.0.

Update MINA to version 2.0.21.

This includes a fix in MINA to a CVE.

Update BouncyCastle dependency to version 1.57

To support the new PBKDF2 password hashing, the Bouncy Castle provider
needs to be updated to a version that supports PBKDF2 with HMAC SHA265.
The current version doesn't have PBKDF2WithHmacSHA265, and neither does
Java 7, so that under Java 7 it can not be used. This update enables
the new password hashing under Java 7, too.

Ignore the `RedisTicketService` tests until they are fixed.

Currently the tests cannot run as no Redis is available. Needs to be
fixed at some time.

Remove Launcher from Manager and Federation Client.

They will need to be called with the classpath and main class now,
instead of simply using the Jar.

Merge pull request #1266 from pingunaut/1262_java9

Added javax.activation dependency

Fix NullpointerException when stopping GitBlit Server.

When GitBlit server did not start properly, is running but couldn't
start the `PluginManager`, then stopping the server via the `--stop`
argument on the command line resulted in a NullpointerException.
Which left the server running. Now this is prevented and the server
will actually shut down.

For Java 9+ define the classpath instead of using a Launcher.

The (moxie and other) Launcher do not work with Java 9 and later anymore.
It used to dynamically extend the classpath, misusing an internal
interface of the `URLClassLoader`. This is no longer possible since Java 9,
which closed that path and does not offer any way to dynamically extend
the classpath during runtime.

So the choice is between providing one large Jar with everything in it,
providing a Jar that has the Jars in `ext` listed explicitly in its
manifest, and specifying the classpath on the command line where
the `ext` directory can be added and all contained jar files will
be put on the classpath.

The motivation for the Launcher class was to be able to simply drop
new jar files into a directory and they will be picked up at the
application start, without having to specify a classpath. We opt
for solution three here. This way jar files can still be dropped
into the ext directory, albeit the directory needs to be added to
the classpath on the command line. Unfortunately using a wildcard
is not possible in the manifest file. We change the calls in the
script files accordingly. This seems like a good compromise,
since no one will run the application manually typing the whole
commandline anyway.

This also does away with the splash screen, by the way. Again,
doesn't seem like a big loss, as I don't think it was ever shown
for the Authority.

Personally, I am not convinced that it is the best way, because
I don't really think that the use case of dropping whatever jar
files into the `ext` directory is a valid one that happened a lot.

This does not yet fix the client programs, which still use a
Launcher. Maybe for them a all-in-one Jar is a better solution.

Fixes #1262
Fixes #1294

Report Java versions used during build and server start.

With three versions about to be supported right now
it is getting more important to know which Java version is
used when building and testing Gitblit, and which Java
version is used to run Gitblit.

So have the Moxie build report the javac version, and the
JVM version that Moxie is running on. These might be
different.
The `GitBlitServer` will print the Java version and vendor,
so that it gets visible if a user would paste a log output
for analysis.

Update to recommended com.sun.activation package.

Update the dependency to the recommended JAF stand-alone
com.sun.activation:javax.activation:1.2.0

Setup build matrix for OpenJDK 8, 9 and 11 on Circle CI

Travis: Build and test on JDK 7, 8 and 11.

This uses the Trusty (14.04) image since that in the only one
where all three JDKs are available.

Merge branch 'pingunaut-1166_more_secure_password_hashes' into master.

Add more PasswordHash tests with strings beyond iso-8859-1.

Use the new PasswordHash classes.

Integrate the `PasswordHash` class and subclass in the user
and password editing and authentication. Replaces the old code and
the previous `SecurePasswordHashingUtils` class.

Add support for PBKDF2 to PasswordHash

Integrate the work of pingunaut to add support for PBKDF2 password
hashing. A new class `PasswordHashPbkdf2` is added, which builds
on his `SecurePasswordHashUtils` class, but makes it a subclass
of `PasswordHash`. This will replace the original class when
integrating the new PasswordHash way into GitBlit.

Add a PasswordHash class as a central place to deal with password hashes.

Instead of having to deal with the implementation details of hashing
and verifying passwords in multiple places, have a central unit
be responsible for it. Otherwise we need to edit three different places
when adding a new hashing scheme.
With this class adding a new hashing scheme just requires creating a
new subclass of `PasswordHash` and registering its type in the enum
`PasswordHash.Type`.
The rest of the code will use a common interface for all hashing
schemes and doesn't need to be changed when a new one is added.

encoded email's sender name with utf-8.

Set default to `expanded` for collapsible repo groups.

Move the new property `web.collapsibleRepositoryGroups` into the
`web` section, close to the list type property. Set the default
to be `expanded`, so that the new feature is visible but the list
is still the full list like before.

Add new value `tree` to the description of the property
`web.repositoryListType`.

Remove "folding outlines" and sort repositories before subfolders.

Remove guard rails at the left to get a cleaner look.
To make it easier to determine which repositories belong to which
folder, display the repositories first, then the subfolder.

Decreased indentation a little.