put a _ before or_options_t elements that aren't configurable

it's fine with me if we change the current convention, but we should
actually decide to change it if we want to.

BridgePassword was never for debugging

It is for the not-yet-implemented bridge community design.

Do not use strcmp() to compare an http authenticator to its expected value

This fixes a side-channel attack on the (fortunately unused!)
BridgePassword option for bridge authorities.  Fix for bug 5543;
bugfix on 0.2.0.14-alpha.

Safe cookie authentication gets a changes file

Merge remote-tracking branch 'rransom-tor/safecookie-022-v3' into maint-0.2.2

Merge commit 'a5704b1c624c9a808f52f3a125339f00e2b9a378' into maint-0.2.2

Use a given name in the bug5090 message, at its holder's request.

Never choose a bridge as an exit. Bug 5342.

Revise "sufficient exit nodes" check to work with restrictive ExitNodes

If you set ExitNodes so that only 1 exit node is accepted, the
previous patch would have made you unable to build circuits.

Merge branch 'bug5343' into maint-0.2.2

Oops; credit bug5090 patch to flupzor. estebanm only found the bug.

Correctly handle broken escape sequences in torrc values

Previously, malformatted torrc values could crash us.

Patch by Esteban Manchado.  Fixes bug 5090; fix on 0.2.0.16-alpha.

Require a threshold of exit nodes before building circuits

This mitigates an attack proposed by wanoskarnet, in which all of a
client's bridges collude to restrict the exit nodes that the client
knows about.  Fixes bug 5343.

Fix compile warnings in openbsd malloc

Merge remote-tracking branch 'karsten/geoip-march2012' into maint-0.2.2

Update to the March 2012 GeoIP database.

new ip address for maatuska

Implement 'safe cookie authentication'

Add a sha256 hmac function, with tests
(cherry picked from commit fdbb9cdf746bbf0c39c34188baa8872471183ff7)

Properly protect paths to sed, sha1sum, openssl

in Makefile.am, we used it without quoting it, causing build failure if
your openssl/sed/sha1sum happened to live in a directory with a space in
it (very common on windows)

Downgrade "missing a certificate" from notice to info

It was apparently getting mistaken for a problem, even though it was
at notice.

Fixes 5067; fix on 0.2.0.10-alpha.

Use correct CVE number for CVE-2011-4576. Found by fermenthor. bug 5066

Merge branch 'maint-0.2.1' into maint-0.2.2

Revert "add  a "docs" to the manual URI as listed in torrc.sample.in"

This reverts commit 55e8cae81553678ec77ce6b8fb1bf2d5e483e0aa.

The conversation from irc:
> weasel: i had intended to leave torrc.sample.in alone in maint-0.2.2,
since i don't want to make all your stable users have to deal with
a torrc change. but nickm changed it. is it in fact the case that a
change in that file means a change in the deb?
<weasel> it means you'll prompt every single user who ever touched
their torrc
<weasel> and they will be asked if they like your new version better
than what they have right now
<weasel> so it's not great

Instead I changed the website to redirect requests for the tor-manual
URL listed in maint-0.2.2's torrc.sample.in so the link will still work.

Update to the February 2012 GeoIP database.

add  a "docs" to the manual URI as listed in torrc.sample.in

Update "ClientOnly" man page entry

There isn't really any point to messing with it. Resolves ticket 5005.

Merge remote-tracking branch 'public/bug4533_part2' into maint-0.2.2

Documentation for GiveGuardFlagTo... option

Fix SOCKET_OK test on win64.

Bugfix on 0.2.2.29-beta; partial fix for 4533; found by wanoskarnet

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Fix a compilation warning for our bug4822 fix on 64-bit linux

Fix comment about TLSv1_method() per comments by wanoskarnet

Fix a trivial log message error in renservice.c

Fixes bug 4856; bugfix on 0.0.6

This bug was introduced in 79fc5217, back in 2004.

when the consensus fails, list which dir auths were in or out

nickname, not identity fingerprint, will help more

tell me who votes are actually for, not just where they're from

add a note from wanoskarnet

he disagrees about what the code that we decided not to use would do

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Merge branch 'bug4822_021_v2_squashed' into maint-0.2.1

Log at info level when disabling SSLv3

Add a changes file for bug4822

Disable SSLv3 when using a not-up-to-date openssl

This is to address bug 4822, and CVE-2011-4576.

Merge branch 'maint-0.2.1' into maint-0.2.2

add a changes file for ticket 4825

Update to the January 2012 GeoIP database.

Fix spelling in a controlsocket log msg

Fixes bug 4803.

Merge remote-tracking branch 'public/bug4788' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Bug 4786 fix: don't convert EARLY to RELAY on v1 connections

We used to do this as a workaround for older Tors, but now it's never
the correct thing to do (especially since anything that didn't
understand RELAY_EARLY is now deprecated hard).

Authorities reject insecure Tors.

This patch should make us reject every Tor that was vulnerable to
CVE-2011-0427.  Additionally, it makes us reject every Tor that couldn't
handle RELAY_EARLY cells, which helps with proposal 110 (#4339).

Provide correct timeradd/timersup replacements

Bug caught and patch provided by Vektor. Fixes bug 4778.t

Do not even try to keep going on a socket with socklen==0

Back in #1240, r1eo linked to information about how this could happen
with older Linux kernels in response to nmap.  Bugs #4545 and #4547
are about how our approach to trying to deal with this condition was
broken and stupid.  Thanks to wanoskarnet for reminding us about #1240.

This is a fix for the abovementioned bugs, and is a bugfix on
0.1.0.3-rc.

Merge remote-tracking branch 'sebastian/clang-3.0-fixes_022' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Add a fix for the buf_pullup bug that Vektor reported

Build with warnings and clang 3.0

--enable-gcc-warnings enables two warnings that clang doesn't support,
so the build fails. We had hoped clang 3.0 would add those, but it
didn't, so let's just always disable those warnings when building with
clang. We can still fix it later once they add support

Merge branch 'maint-0.2.1' into maint-0.2.2

Update to the December 2011 GeoIP database.

Don't call tor_tls_set_logged_address till after checking conn->tls

Fixes bug 4531; partial backport of e27a26d5.

tor_accept_socket() should take tor_addr_t for listener arg

Fixes bug 4535; bugfix on 0.2.2.28-beta; found by "troll_un"

Fix bug 4530; check return val of tor_addr_lookup correctly

Fix on 0.2.1.5-alpha; reported by troll_un

Detect tor_addr_to_str failure in tor_dup_addr.

This avoids a possible strdup of an uninitialized buffer.

Fixes 4529; fix on 0.2.1.3-alpha; reported by troll_un.

Merge remote-tracking branch 'public/bug4230' into maint-0.2.2

Fix a compile warning on 64bit OS X

Backport of 68475fc5c5a806ebbb5657de1667dab2c3e09b7c which accidentally
only made it into master. Fixes bug 4547. Bug isn't in any released
version.

man page entries for AuthDir{Fast,GuardBW}Guarantee

parameterize bw cutoffs to guarantee Fast and Guard flags

Now it will be easier for researchers to simulate Tor networks with
different values. Resolves ticket 4484.

Merge branch 'bug4518' into maint-0.2.2

Merge remote-tracking branch 'public/bug3963' into maint-0.2.2

Changes file for bug4521 backports.

Sockets are unsigned on windows

this gets rid of a warning about signed/unsigned comparison

This is a backport of 0a5338e03cdf14ef80584c6ff8adeb49200b8a76 that
accidentally only went into master

Get rid of an unused parameter warning on win

This is a backport of bed79c47f4ec0ee72b19e2b81c54131d516d07ef which
accidentally only went into master

Only call cull_wedged_cpuworkers once every 60 seconds.

The function is over 10 or 20% on some of Moritz's profiles, depending
on how you could.

Since it's checking for a multi-hour timeout, this is safe to do.

Fixes bug 4518.

Don't log about stats when running as a client without geoip

Completely disable stats if we aren't running as a relay. We won't
collect any anyway, so setting up the infrastructure for them and
logging about them is wrong. This also removes a confusing log
message that clients without a geoip db would have seen.

Fixes bug 4353.

Merge branch 'bug4457_022' into maint-0.2.2

Use real_addr in send_netinfo

Reported by "troll_un"; bugfix on 0.2.0.10-alpha; fixes bug 4349.

Detect failure from event_init() or event_base_new_with_config()

Use the EVENT_BASE_FLAG_NOLOCK flag to prevent socketpair() invocation

In Tor 0.2.2, we never need the event base to be notifiable, since we
don't call it from other threads.  This is a workaround for bug 4457,
which is not actually a Tor bug IMO.

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Merge remote-tracking branch 'karsten/geoip-november2011' into maint-0.2.1

Correct the handling of overflow behavior in smartlist_ensure_capacity

The old behavior was susceptible to the compiler optimizing out our
assertion check, *and* could still overflow size_t on 32-bit systems
even when it did work.

Merge remote-tracking branch 'rransom-tor/bug4426' into maint-0.2.2

Don't warn when compiling with --disable-threads

STMT_VOID semantics suggested by nick, thanks!

Include HiddenServiceDir in some warning messages

Robert says that this bug was not in fact one of frosty's

Merge branch 'bug4424' into maint-0.2.2

Remove an extraneous "if" in the 4424 fix

Don't leak an extend_info_t in rend_client_any_intro_points_usable

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Update to the November 2011 GeoIP database.

Add a changes file for 4410

Fix remotely triggerable assert during ip decryption

Fixes bug 4410.

Merge branch 'bug4383_nm' into maint-0.2.2

Fix a memleak when fetching descriptors for bridges in ExcludeNodes.

Merge remote-tracking branch 'erinn/win-bundle-fix' into maint-0.2.2

remove absolute path from contrib/package_nsis-mingw.sh in order to make it easier to automatically build tor expert bundle

Add a changes file for the 4340 fix

Disable stats requiring geoip info if we have none

In other parts of the code we will otherwise attempt to collect these
statistics, and that will lead to crashes.

Discard all cells on a marked connection

Fix for bug 4299

Fix typo, spotted by tmpname0901. Thanks!