Directory guard implementation.

Implements proposal 207; ticket 6526.

Remember which of our guards are directory caches

Split choosing a regular directory into its own fn

One last fix for a warning on non-EC systems

Merge branch 'tls_ecdhe_rebased_v2'

Be more noncomittal about performance improvement of uint128 backend.

Make ECDHE group configurable: 224 for public, 256 for bridges (default)

Inform the user if they're passing up a 10x ECDH speedup.

Add benchmark for DH handshake and ECDH-P-224/56 handshake

Let servers choose better ciphersuites when clients support them

This implements the server-side of proposal 198 by detecting when
clients lack the magic list of ciphersuites that indicates that
they're lying faking some ciphers they don't really have.  When
clients lack this list, we can choose any cipher that we'd actually
like.  The newly allowed ciphersuites are, currently, "All ECDHE-RSA
ciphers that openssl supports, except for ECDHE-RSA-RC4".

The code to detect the cipher list relies on on (ab)use of
SSL_set_session_secret_cb.

Remove the address argument from client cipher classification fns

Cache the type of client cipher list we have in the tor_tls_t

We already use this classification for deciding whether (as a server)
to do a v2/v3 handshake, and we're about to start using it for
deciding whether we can use good ciphersuites too.

prop198: Detect the list of ciphersuites we used to lie about having

This is less easy than you might think; we can't just look at the
client ciphers list, since openssl doesn't remember client ciphers if
it doesn't know about them.  So we have to keep a list of the "v2"
ciphers, with the ones we don't know about removed.

Configure SSL context to know about using P-256 for ECDHE.

bump to 0.2.4.7-alpha-dev

add a blurb for 0.2.4.7-alpha too

bump to 0.2.4.7-alpha

fold in changes files so far

When there are no dir_server_ts to choose, don't crash

It's important not to call choose_array_element_by_weight and then
pass its return value unchecked to smartlist_get : it is allowed to
return -1.

Fixes bug 7756; bugfix on 4e3d07a6 (not in any released Tor)

Add packaged cell fullness to the heartbeat message.

This is an attempt to diagnose the severity of bug 7743.

Remove the obsolete doc/TODO.* files

Closes bug #7730.

Merge branch 'ticket7570_7571'

Conflicts:
src/or/routerlist.c

Drop the maximum attempts to get a virtual address to 1000.

This is good enough to give P_success >= 999,999,999/1,000,000,000 so
long as the address space is less than 97.95 full.  It'd be ridiculous
for that to happen for IPv6, and usome reasonable assumptions, it
would also be pretty silly for IPv4.

Describe IPv6 automap changes

Document PreferIPv6Automap in the manpage

Add missing doxygen for DNS and automap code

Per-listener option to prefer IPv6 automaps when possible.

Build and test most of the machinery needed for IPv6 virtualaddrmaps

With an IPv6 virtual address map, we can basically hand out a new
IPv6 address for _every_ address we connect to.  That'll be cool, and
will let us maybe get around prop205 issues.

This uses some fancy logic to try to make the code paths in the ipv4
and the ipv6 case as close as possible, and moves to randomly
generated addresses so we don't need to maintain those stupid counters
that will collide if Tor restarts but apps don't.

Also has some XXXX items to fix to make this useful. More design
needed.

Refactor the code to check if an address is matched by automapsuffixes

Fix another uninitialized var warning from GCC

Fixed an unused-variable warning

Don't use the cache when changing an IP address because of an exit policy

changes entry for disabling cache usage by default

Turn off by-default use of client-side DNS cacheing.

Refactor port_cfg_t creation into a port_cfg_new() function

This function gives us a single place to set reasonable default flags
for port_cfg_t entries, to avoid bugs like the one where we weren't
setting ipv4_traffic_ok to 1 on SocksPorts initialized in an older
way.

Changes file for new DNS caching options

Add documentation for the client-side DNS cache options

Implement option to turn off DNS cache modification by a client port

(This is part 3 of making DNS cache use enabled/disabled on a
per-client port basis.  This implements the UseCacheIPv[46]DNS options)

Implement option to turn off DNS cache use on a client port

(This is part 2 of making DNS cache use enabled/disabled on a
per-client port basis.  This implements the CacheIPv[46]DNS options,
but not the UseCachedIPv[46] ones.)

Oops: make the check for not adding ip->ip DNS maps correct

Add options to turn DNS cache use on or off per client port.

(This is part 1 of making DNS cache use enabled/disabled on a
per-client port basis.  These options are shuffled around correctly,
but don't do anything yet.)

Oops; make DNSPort configuration take address family options

Avoid a 'may be used uninitialized' warning

Fixes bug 7746; bug not in any released version of Tor.

Nuke uses of memcmp outside of unit tests

We want to be saying fast_mem{cmp,eq,neq} when we're doing a
comparison that's allowed to exit early, or tor_mem{cmp,eq,neq} when
we need a data-invariant timing.  Direct use of memcmp tends to imply
that we haven't thought about the issue.

Merge remote-tracking branch 'origin/maint-0.2.3'

Conflicts:
src/config/geoip

Merge remote-tracking branch 'origin/maint-0.2.2' into maint-0.2.3

Note that fallback_dirsource was proposal 206, bug 572.

Fix two wide lines in config.c

Merge branch 'fallback_dirsource_v3'

Add link explaining how the geoip file was created.

Update to the December 2012 GeoIP database.

Update to the November 2012 GeoIP database.

Mention that dist-geoip6 was bug 7655

Fix some wide lines

Merge branch 'win64-7260'

Conflicts:
src/or/dns.c

Fix infinite loop in circuit_expire_bulding

Fixes bug 7663; bug introduced in 42e3c04a7a5fb47a9.  Not in any
released version of Tor.

Expand the manpage to say: watch out for nonlocal socks

This clears up the remaining issue stopping me from closing bug 6297.

Merge remote-tracking branch 'karsten/task-6266'

Merge branch 'bug7306'

Merge remote-tracking branch 'public/bug6887'

Merge branch 'bug3443_squashed'

Bug 3443: Don't count ORconn setup in circuit build time.

Also, add a hack Roger suggested where we're more patient if no circuits are
opened yet.

Drop FallbackNetworkstatusFile; it never worked.

Add an option to weight down authorities when choosing a fallback

Add a way to configure selection weights for dir_server_t

When choosing among dirserver_ts, consider their weights

New FallbackDir option to add extra directories for bootstraping

This replaces the old FallbackConsensus notion, and should provide a
way -- assuming we pick reasonable nodes! -- to give clients
suggestions of placs to go to get their first consensus.

Refactor add_trusted_dir_server

Now creating a dir_server_t and adding it are separate functions, and
there are frontend functions for adding a trusted dirserver and a
fallback dirserver.

Rename trusted_dir_server_t to dir_server_t. Automatic renaming.

Rename DirServer to DirAuthority

Start refactoring trusted_dir_servers into trusted and fallback lists

We use trusted_dir_server_t for two pieces of functionality: a list of
all directory authorities, and a list of initial places to look for
a directory.  With this patch we start to separate those two roles.

There is as of now no actual way to be a fallback directory without being
an authority.

Correct moribund logic about caching v2 networkstatuses

Make output of router_get_trusted_dir_servers const

Use FreeLibrary, not CloseHandle, for library in test_util.c

Fix for bug 7306. Bugfix on 0.2.2.17-alpha.

Update to the December 2012 GeoIP database.

Merge remote-tracking branch 'asn/bug7592_take2'

Return connection_exit_connect() if payload creation failed.

Fixes bug #7592; bugfix on 882b389668067a29bb539d0f5bd5cb2f83b93012.

The bug is not present in any released versions of Tor.

fix some typos

Merge branch 'bug7013_take2_squashed'

Introduce tor_addr_port_parse() and use it to parse ServerTransportListenAddr.

Add a torrc option to specify the bind address of managed proxies.

Update to the November 2012 GeoIP database.

Add script to fix "A1" entries in geoip file.

Fixes #6266.

Make sure that the error in ADDRMAP events is well-formed

"error=Unable to launch resolve request" is not a nice thing to tell
the controller.  Bugfix on 0.2.0.19-alpha (c11c48fc).

Minor documentation fix

Note limitation of parse_rfc_1123_time

RFC1123 suggests that we should handle two-year times, and a full
range of time zones, and other stuff too.  We don't.

In comments and logs, say "UTC" not "GMT"

Fix for #6113.

Note that the RFC1123 times we generate still all say 'GMT'.  I'm
going to suggest this is not worth changing.

Refer to RFC 4648 instead of the obsolete RFC 3548

Affects comments only. For ticket 6849.

forward-port the 0.2.3.25 changelog and release notes

Merge branch 'bug7493_redux'

Initialize ipv{4,6}_traffic_ok in entry_connection_new

This one is necessary for sending BEGIN cells with sane flags when
self-testing a directory port.  All real entry connections were
getting their ipv{4,6}_traffic_ok flags set from their listeners, and
for begindir entry connections we didn't care, but for directory
self-testing, we had a problem.

Fixes at least one more case of 7493; if there are more lingering
cases of 7493, this might fix them too.

Bug not in any released version of Tor.

when counting available descs, say whether we're counting exits

Give useful warning when both IPv4 and IPv6 are disabled on a socksport

Allow IPv4 traffic on default and old-style-config SocksPorts.

Looks like when i was writing the code to set the ipv4_traffic flag on
port_cfg_t, I missed some cases, such as the one where the port was
set from its default value.

Fix for 7493. Bug not in any released Tor.

Merge branch 'ipv6_exits'

Set IPv4/IPv6 flags correctly when being a SOCKS client

Remove some XXXX commens in dns.c

Previously, I was freaking out about passing an unspec address to
dns_found_answer() on an error, since I was using the address type to
determine whether the error was an error on an ipv4 address lookup or
on an ipv6 address lookup.  But now dns_found_answer() has a separate
orig_query_type argument to tell what kind of query it is, so there's
no need to freak out.

Fix up some comments in connection_edge.c

Add a changes file for IPv6 exits

Add manual page entries for new IPv6-exits options