Implement and use a generic auth. cookie initialization function.

Use the generic function for both the ControlPort cookie and the
ExtORPort cookie.

Also, place the global cookie variables in the heap so that we can
pass them around more easily as pointers.

Also also, fix the unit tests that broke by this change.

Conflicts:
src/or/config.h
src/or/ext_orport.c

Warn if the Extended ORPort listens on a public IP address.

Better documentation for ext_or_auth_correct_client_hash.

White-box tests for the succeeding case of ext_or_port handshake.

(Okay, white-box plus mocking enough other functions so they don't
crash.)

Test for initializing ext_or_auth_cookie file

Make 0x01==SAFECOOKIE a macro, not a magic number

Unit test for the ext_orport safe_cookie handshake

Expose/mock some functions to make ext_orport.c testing possible

More unit tests for handle_client_auth_nonce

Incidentally, this business here where I make crypto_rand mockable:
this is exactly the kind of thing that would make me never want to
include test-support stuff in production builds.

Unit test for basic ext_or_cookie authentication backend

Split the cryptographic part of handle_client_auth_nonce into new fn

Fix some ext_orport.c DOCDOCs.

Tests for connection_write_ext_or_command.

Unit tests for ext_or_id_map.

Unit tests for fetch_ext_or_cmd

Split out buffers and socks tests into separate modules.

No other changes were made here.  Keeping everything in
src/test/test.c was a legacy of back when we had all our unit tests in
one big file.

Doing this now because I'm adding an ext_or_command test.

Add a clientmap_entry_free().

Remove a nedless strdup/free pair.

Fix hash functions for transport_name in client entry

Use memdup_nulterm and check for NULs in handle_cmd_transport

Fix a variety of issues in 4773

memwipe some stack-allocated stuff
Add DOCDOC comments for state machines
Use memdup_nulterm as appropriate
Check for NULs in useraddr
Add a macro so that <= AUTH_MAX has a meaning.

Break up <??> differently, and explain why

Add guards to ext_orport.h, rename get_file to get_file_name

Use only uintptr_t for the value of transport_count

If a single client connects with multiple transports, note all transports.

Fix a number of issues with the #5040 code.

- Don't leak if a transport proxy sends us a TRANSPORT command more
  than once.

- Don't use smartlist_string_isin() in geoip_get_transport_history().
  (pointed out by Nick)

- Use the 'join' argument of smartlist_join_strings() instead of
  trying to write the separator on our own.
  (pointed out by Nick)

- Document 'ext_or_transport' a bit better.
  (pointed out by Nick)

- Be a bit more consistent with the types of the values of 'transport_counts'.
  (pointed out by Nick)

Trivially change unittests to make them more readable.

Pluggable transport names are now in alphabetical order like they
appear in the bridge-ip-transports string.

Make check-spaces happy.

Add a changes file for #5040.

Fix some unittests that broke when we added bridge-ip-transports.

Add a unittest for the bridge-ip-transports extra-info line.

Write extra-info bridge-ip-transports lines.

Make a channel getter method to retrieve transport names.

Add transport information to the GeoIP database.

Make the Extended ORPort understand the TRANSPORT command.

Fix logging severities and remove some trivial XXXs.

More Extended ORPort code improvements.

* Change name of init_ext_or_auth_cookie_authentication().
* Add a small comment.

Move Extended ORPort code to its own module.

Move the code from the connection_or module to ext_orport.

This commit only moves code: it shouldn't modify anything.

Satisfy check-spaces.

Various Extended ORPort code improvements.

* Add documentation.
* Free ext_or_auth_correct_client_hash.
* Use VPORT(ExtORPort) instead of V(ExtORPOrt).
  See dfe03d36c8749eb07e9bb2ea47e88ff05e9e3127 for details.

Move USERADDR handling to a dedicated function.

Implement Extended ORPort authentication.

Prepare codebase for the implementation of Extended ORPort auth.

Create the Extended ORPort authentication cookie file.

Document code and change the Extended ORPort command numbers.

Skeleton ExtORPort implementation.  Needs testing, documentation.

Does not implement TransportControlPort yet.

Start of a unit test for options_validate.

I added this so I could write a unit test for ServerTransportOptions,
but it incidentally exercises the succeed-on-defaults case of
options_validate too.

Merge branch 'simpleq_for_cells_3'

Add a test for n_cells_in_circuit_queues

Unit tests for cell queues.

This removes some INLINE markers from functions that probably didn't
need them.

Use TOR_SIMPLEQ for packed_cell_t

Remove a redundant declaration

Remove a stray debugging echo from configure.ac

Fix a wide line in test_pt.c

Merge branch 'bug8978_rebase_2'

Conflicts:
src/test/test_pt.c

Merge branch 'bug8929_rebase_2'

Improve test coverage of 8929 code

Fix memory leaks in test_config_parse_transport_options_line

Document what "escape" means in tor_escape_str_for_pt_args

Insert the environment variable only if we have options to pass.

Add changes file and enrich the manual page.

Place the options in the environment after processing them properly.

Rename tor_escape_str_for_socks_arg() to something more generic.

Since we are going to be using that function to also escape parameters
passed to transport proxies using environment variables.

Pass characters to be escaped to tor_escape_str_for_socks_arg().

This is in preparation for using tor_escape_str_for_socks_arg() to
escape server-side pluggable transport parameters.

Write unit tests for the ServerTransportOptions parsing function.

Write function that parses ServerTransportOptions torrc lines.

And use it to validate them.

Add a basic unit test for pt_get_extra_info_descriptor_string.

Add a unit test for smethod lines with arguments.

Write transport ARGS to extra-info descriptor.

Extract ARGS from SMETHOD line and attach them to transport.

A python script to combin gcov output with git blame

Merge remote-tracking branch 'origin/maint-0.2.4'

Re-do a cast in order to make old buggy freebsd gcc happy

Fix for #9254.  Bugfix on 0.2.4.14-alpha.

This is not actually a bug in the Tor code.

Merge remote-tracking branch 'asn/bug9265'

Remove an unused variable in test_replaycache_scrub

Make contrib/coverage smarter about check file-existence edge cases

Add more replaycache.c unit tests, bringing coverage to 100% for that file

Eliminate an impossible case in replaycache_scrub_if_needed_internal()

Test deeper in test_pt_parsing().

We used to test parse_{c,s}method_line() without actually testing that
the resulting transport_t was well formed.

Add optional target directory parameter to coverage script and add reset-gcov target to Makefile.am

Appease "make check-spaces"

Use format_hex_number_sigsafe to format syscalls in sandbox.c

This way, we don't have to use snprintf, which is not guaranteed to
be signal-safe.

(Technically speaking, strlen() and strlcpy() are not guaranteed to
be signal-safe by the POSIX standard. But I claim that they are on
every platform that supports libseccomp2, which is what matters
here.)

Lightly refactor and test format_hex_number_sigsafe

Better tests for upper bounds, and for failing cases.

Also, change the function's interface to take a buffer length rather
than a maximum length, and then NUL-terminate: functions that don't
NUL-terminate are trouble waiting to happen.

HEX_ERRNO_SIZE is no longer the correct upper limit for format_hex_number_sigsafe

Expose format_hex_number_..., and rename it to ..._sigsafe().

There are some other places in the code that will want a signal-safe
way to format numbers, so it shouldn't be static to util.c.

Don't build format_helper_exit_status on win32

The only thing that used format_helper_exit_status on win32 was the
unit tests. This caused an error when we tried to leave a static
format_helper_exit_status lying around in a production object file.

The easiest solution is to admit that this way of dealing with process
exit status is Unix-only.

Merge remote-tracking branch 'linus/unused_param'

Merge remote-tracking branch 'linus/binshify'

Merge remote-tracking branch 'public/fancy_test_tricks'

Conflicts:
src/common/include.am

Conflict was from adding testsupport.h near where sandbox.h had
already been added.

Traditional /bin/sh is unhappy about {a,b} globbing.

Avoid compiler warning 'unused param'.

Fixes #9261.

Fix two pre-coffee typos

And a changes file for #9258

Reject relative control socket paths and emit a warning.

Previously we would accept relative paths, but only if they contained a
slash somewhere (not at the end).

Otherwise we would silently not work.  Closes: #9258.  Bugfix on
0.2.3.16-alpha.

Document get_parent_directory more

cosmetic cleanups

put sandbox.h in the tarball, so the tarball builds

Merge remote-tracking branch 'public/gsoc-ctoader-cap-phase1-squashed'

Remove a bogus semicolon spotted by Gisle Vanem

Add a basic seccomp2 syscall filter on Linux

It's controlled by the new Sandbox argument.  Right now, it's rather
coarse-grained, it's Linux-only, and it may break some features.

Add some basic unit tests for the circuit map data structure.

These show off the new mocking code by mocking the circuitmux code
so that we can test the circuit map code in isolation.