mike needs DEFAULT_ROUTE_LEN in other files

partial changelog for 0.2.2.15-alpha

whitespace fix

Add missing changes file for d461799f0

naked constants are bad

Merge branch 'bug1699'

Fix getinfo_helper_networkstatus to return 0 on question-not-known

It erroneously returned -1 instead, which made it say "Internal error"
rather than "Unrecognized key."

Make the controller act more usefully when GETINFO fails

Right now it says "552 internal error" because there's no way for
getinfo_helper_*() countries to specify an error message.  This
patch changes the getinfo_helper_*() interface, and makes most of the
getinfo helpers give useful error messages in response to failures.

This should prevent recurrences of bug 1699, where a missing GeoIPFile
line in the torrc made GETINFO ip-to-county/* fail in a "not obvious
how to fix" way.

Alter how guard flags are chosen.

V3 authorities no longer decide not to vote on Guard+Exit. The bandwidth
weights should take care of this now.

Also, lower the max threshold for WFU to 0.98, to allow more nodes to become
guards.

print right controller purpose string for measure-timeout circs

fetching a directory on sighup is years out of date

No dirport should mean no hsdir flag (bug 1693)

0.2.2.14-alpha blurb

bump to 0.2.2.14-alpha-dev

bump to 0.2.2.14-alpha

guh. 'git commit' did not do what i expect.

i'm going to tag 0.2.2.14-alpha tonight

Rename log.h to torlog.h

This should make us conflict less with system files named "log.h".
Yes, we shouldn't have been conflicting with those anyway, but some
people's compilers act very oddly.

The actual change was done with one "git mv", by editing
Makefile.am, and running
   find . -name '*.[ch]' | xargs perl -i -pe 'if (/^#include.*\Wlog.h/) {s/log.h/torlog.h/; }'

fold in the latest changes

Remove TODO items that are either done or moved to the tracker

More gracefully handle corrupt state files.

Save a backup if we get odd circuitbuildtimes and other state info.

In the case of circuit build times, we no longer assert, and reset our state.

Fix unittest failure in bug 1660.

We now record large times as abandoned, to prevent a filter step from
happening and skewing our results.

Also, issue a warn for a rare case that can happen for funky values of Xm or
too many abandoned circuits. Can happen (very rarely) during unit tests, but
should not be possble during live operation, due to network liveness filters
and discard logic.

Make directory mirrors report non-zero dirreq-v[23]-shares again.

Fix bugs with assuming time_t can be implicitly cast to long

Many friendly operating systems have 64-bit times, and it's not nice
to pass them to an %ld format.

It's also extremely not-nice to write a time to the log as an
integer.  Most people think it's 2010 June 29 23:57 UTC+epsilon, not
1277855805+epsilon.

Merge remote branch 'public/rand_double2'

Merge remote branch 'mikeperry/cbt-bugfixes3'

start an 0.2.2.14-alpha changelog

Group in torrc is obsolete, so stop checking it

Make cbt_generate_sample use crypto_rand_double()

Possible workaround for bug 1139, if anybody cares.

Merge branch 'bug1526-v2'

Fix a compile error when building with Libevent before 1.4.5-stable

Older versions of Libevent forgot to declare enough function arguments
constant.

Use Libevent 2.0's periodic timers where available.

These timers behave better with non-monotonic clocks than our old
ones, and also try harder to make once-per-second events get called
one second apart, rather than one-plus-epsilon seconds apart.

This fixes bug 943 for everybody using Libevent 2.0 or later.

Make spec docs reference RFC2119

Now people will have no excuse for not knowing what "MUST" and "MAY"
mean.  Fixes bug 1310.

Fix typo in tinytest_demo

Fix zlib macro brokenness on osx with zlib 1.2.4 and higher.

From the code:
   zlib 1.2.4 and 1.2.5 do some "clever" things with macros.  Instead of
   saying "(defined(FOO) ? FOO : 0)" they like to say "FOO-0", on the theory
   that nobody will care if the compile outputs a no-such-identifier warning.

   Sorry, but we like -Werror over here, so I guess we need to define these.
   I hope that zlib 1.2.6 doesn't break these too.

Possible fix for bug 1526.

Log an error if openssl fails to copy a key for us

This should never happen unless openssl is buggy or some of our
assumptions are deeply wrong, but one of those might have been the
cause of the not-yet-reproducible bug 1209.  If it ever happens again,
let's get some info we can use.

Add a function to return a double in range [0,1).

Remove the extra space that is sent in certain STREAM messages from the controller. (closes #1583)

Mention the purpose field for leaked circuits.

Add CLOSE_MS and CLOSE_RATE keywords to buildtimeout event.

Be more proactive about closing unused circuits.

We need to ensure that we close timeout measurement circuits. While
we're at it, we should close really old circuits of certain types that
aren't in use, and log really old circuits of other types.

Split the circuit timeout and close codepaths.

We need to record different statistics at point of timeout, vs the point
of forcible closing.

Also, give some better names to constants and state file variables
to indicate they are not dealing with timeouts, but abandoned circuits.

Fix initialization and reset issues with close_ms.

Also clean up some log messages.

Answer question from Roger.

a line that's been sitting in my sandbox for months

Save a couple characters' allocation in esc_for_log

Copy the release notes from 0.2.1.26 into the master ChangeLog

Merge commit 'sjmurdoch/xxx-using-spdy'

Merge commit 'sebastian/hostnamewarn'

Merge commit 'origin/maint-0.2.1'

Add maatuska as eighth v3 directory authority.

Don't put a ControlPort without auth in sample bridge torrc

Thanks Roger for noticing

change Bytes to B to fix ticket 1195.

Don't crash when reading cached*consensus files on startup

Fixes bug 1352

Update changelog.

Keep circuits open until the greater of 95th CDF percentile or 60s.

This is done to provide better data to our right-censored Pareto model.

We do this by simply marking them with a new purpose.

Update spec with new right-censored pareto estimators.

Make the Xm mode selection a consensus parameter.

Address some issues with unit tests.

Histogram conversion causes accuracy loss, and there are some
boundary conditions when we hit 1000 circuits that cause
false negative test results.

Add timeout count state variable.

Remove synthetic timeout code in favor of better Pareto model.

Arma hates (\d+). Remove mine and some others.

Improve log message about large timeouts and fix some typos.

Merge remote branch 'origin/maint-0.2.1'

add changes file for geoip db update

Update to June 1 2010 Maxmind GeoLite Country database.

In asciidoc-helper.sh, be more verbose when a2x fails.

Previously, we said (more or less), "a2x is broken and here's how you could
try to fix it".  Instead, we now say "We need a2x to build manpages; a2x
didn't work; here is a fix that might work for you; alternatively you
could just skip manpage building."

Addresses bug 1524.

Also, give the message as a here-document rather than a bunch of echos.

Merge branch 'bug1522'

Reinstate warning when HOME isn't set.

Having ~/.tor expand into /.tor is, after all, almost certainly not
what the user wanted, and it deserves a warning message.

Also, convert a guess-and-malloc-and-sprintf triple into an asprintf.

Sample torrc as a bridge

On Sun, 6 Jun 2010 19:59:56 -0400
Andrew Lewman <andrew@torproject.org> wrote:

> attached.

let's try this again.

From e95c44bc5af90d982e9d95d63e78b2fde67431ed Mon Sep 17 00:00:00 2001
From: Andrew Lewman <andrew@torproject.org>
Date: Sun, 6 Jun 2010 19:56:16 -0400
Subject: [PATCH] Create a sample bridge configuration torrc.

Add option to not warn when getting an IP instead of hostname

Treat unset $HOME like empty $HOME

This means Tor no longer dies when it doesn't have a $HOME.

Don't cannibalize one-hop circuits

In rare cases, we could cannibalize a one-hop circuit, ending up
with a two-hop circuit. This circuit would not be actually used,
but we should prevent its creation in the first place.

Thanks to outofwords and swissknife for helping to analyse this.

Let bridge users use the non-primary address of a multi-homed bridge

Clean up "Address" documentation even harder.

Merge commit 'sebastian/bug1381'

Make pointer types correct in WinCE patch

Merge branch 'port_to_wince'

Add 'changes' file for Windows CE port

moved wince related includes and defs to compat.h where possible, removed unused/redundant wince includes

Port Tor to work on Windows CE

Most of the changes here are switches to use APIs available on Windows
CE.  The most pervasive change is that Windows CE only provides the
wide-character ("FooW") variants of most of the windows function, and
doesn't support the older ASCII verions at all.

This patch will require use of the wcecompat library to get working
versions of the posix-style fd-based file IO functions.

[commit message by nickm]

Log the correct address when purging a mismatchd DNS cache address

Don't use "try" as an identifier

C allows try, but some windows CE headers like to redefine 'try' to be
a reserved word.

clean up whitespace in src/tools

Include src/tools in paths to check with "make check-spaces"

Make rotate_request_period use BEGIN/END versions of FOREACH

This appeases some versions of MSVC, which don't like it when you
have preprocessor commands inside a set of macro arguments.

Fix CBT unit tests.

Clarify 'marking connection as too old' messages

Back when we changed the idea of a connection being "too old" for new
circuits into the connection being "bad" for new circuits, we didn't
actually change the info messages.  This led to telling the user that
we were labelling connections as "too old" for being worse than
connections that were actually older than them.

Found by Scott on or-talk.

Add changelog for this branch.

Fix comments from Sebastian + Nick's code review.

Check for overflow in one place, and be consistent about type usage.

Bug 1296: Add option+logic to disable CBT learning.

There are now four ways that CBT can be disabled:

1. Network-wide, with the cbtdisabled consensus param.
2. Via config, with "LearnCircuitBuildTimeout 0"
3. Via config, with "AuthoritativeDirectory 1"
4. Via a state file write failure.

Bug 1357: Store the suspended timeout value to resume.

This prevents a spurious warning where we have a timeout just after
deciding our network came back online.

Bug 1245: Ignore negative and large timeouts.

This should prevent some asserts and storage of incorrect build times
for the cases where Tor is suspended during a circuit construction, or
just after completing a circuit. The idea is that if the circuit
build time is much greater than we would have cut it off at, we probably
had a suspend event along this codepath, and we should discard the
value.

Bump timeout calculation message to notice when timeout changes.

Add consensus parameter for max synthetic quantile.

In case we decide that the timeout rate is now too high due to our
change of the max synthetic quantile value, this consensus parameter
will allow us to restore it to the previous value.

Update path-spec.txt with contents of proposal 151.

Add a TIMEOUT_RATE keyword to buildtimeout event.

Bug 1335: Implement filtering step to remove+prevent high timeouts.

This is for the other issue we saw in Bug 1335. A large number of high
timeouts were causing the timeout calculation to slowly drift upwards,
especially in conditions of load. This fix repeatedly regenerates all of
our synthetic timeouts whenever the timeout changes, to try to prevent
drift.

It also lowers the timeout cap to help for some cases of Bug 1245, where
some timeout values were so large that we ended up allocating a ton of
scratch memory to count the histogram bins.

The downside is that lowering this cap is affecting our timeout rate.
Unfortunately, the buildtimeout quantile is now higher than the actual
completion rate by what appears to be about 7-10%, which probably
represents the skew in the distribution due to lowering this synthetic
cap.

Bug 1335: Alter Xm calculation to be weighted avg of top N=3 modes.

In my state files, I was seeing several peaks, probably due to different
guards having different latency. This change is meant to better capture
this behavior and generate more reasonable timeouts when it happens. It
is improving the timeout values for my collection of state files.

Merge commit 'linus/master'