Edits to most recent edits from arma.

svn:r746

Tighten up 1-3; clarify a few points

svn:r745

patches, mainly on sec4

svn:r744

formatting changes, no edits

svn:r743

minor edits on edits on edits

svn:r742

More work on section 4; replace IP with IP address.

svn:r741

Various edits.

svn:r740

Edits to recent edits.

svn:r739

Fix small version error I introduced (I hope).

svn:r738

A few changes, mostly to section 4 before Nick picks it up again.

svn:r737

a first go at section 7

svn:r736

remove sec7.1. you're right, it's redundant now

svn:r735

patches on nick's sec4 patches

svn:r734

rearrange and clean up sec1

svn:r733

rewrite and tighten section 6

svn:r732

note need for ACI->circID change

svn:r731

Edits on section 4-- not done, but done for tonight

svn:r730

Edits to sections 2 and 3.

svn:r729

give us a real abstract

svn:r728

Some style and euphony edits in 1 and 2. Tweaks on "which", "number", "tradeoff" and "Section" throughout

svn:r727

more minor commits

svn:r726

clean up dirserver section

svn:r725

remove/resolve several comments

svn:r724

Edit abstract; ref jap backdoor; declarify jap padding; convert metatext to comments

svn:r723

add puzzles-tls cite

svn:r722

rewrite exit abuse section

svn:r721

Write attacks+defenses vs rendezvous pts

svn:r720

Misc edits, write dirserver attacks+defenses

svn:r719

tweaked the abstract

svn:r718

minor fixes throughout

svn:r717

make it clearer that streams on a circuit can exit at different ORs

svn:r716

some minor tweaks, for the first draft.

svn:r715

many small changes throughout

svn:r714

more on sec2 and 5.1

svn:r713

more patches on sec2 and sec3; rewrite threat model

svn:r712

Write remaining active attacks

svn:r711

Edit analysis and attacks and defenses.

svn:r710

clean up related works section

svn:r709

Remove references to byzantine fault tolerance, clean up directory discussions

svn:r708

Hack. Hack. Mostly on analysis and attacks. Third commit try's a charm?

svn:r707

Edit and expand sections 5,6, and 10.

svn:r706

clean up bibtex

svn:r705

cite the anonnet i meant to cite.

svn:r704

mess with the formatting in sec9

svn:r703

Retitle and write section 8.

svn:r702

Add goals to rendezvous pts; other cleanups

svn:r701

clean up sec1, part of sec2

svn:r700

Fill out section 5.1, some of which should move into 2, 3, or 4.

svn:r699

More work to section 4; more is needed. Moving to pen and paper: I need to re-read this several more times before I know what to change.

svn:r698

formatting and partial typo fixing

svn:r697

Initial low-level changes to section 4

svn:r696

tweak tweak

svn:r695

Small changes in design goals. Starting analysis section.

svn:r694

Commit rest of changes to section 3.  I am falling asleep, and my section 4 edits are not yet grammatical

svn:r693

more minor changes/additions

svn:r692

Fix minor typos and add a cite for Privoxy

svn:r691

Edit section 2, compress section 3.

I still need to turn the list of attacks into a paragraph or two
before I move from 3 onto 4.

svn:r690

UPdated hostile user assumptions. Other little things.

svn:r689

more work

svn:r688

A few changes to related work before heading back to CCS.

svn:r687

A few tiny tweaks.

svn:r686

patch the README more for new routers

svn:r685

bugfix for win32 with lots of users
plus general cleanup on switch_id()

svn:r684

add a few more new TODO items (bugfixes)

svn:r683

circuits, streams, and tagging, o my!

svn:r682

remove obsolete config file

svn:r681

tweaks outside sec4 (couldn't help myself)

svn:r680

Revise section 1, remove very throughout.

svn:r679

Add note about DNS distinguishability attack

svn:r678

more circuit design section work

svn:r677

Commit notes from Friday mtg with arma.

svn:r676

crank more on design section

svn:r675

add DirBindAddress, parse the BindAddress's when you bind
exit if bind fails
add usage printfs
rearrange config options for readability

svn:r674

think more about the design section

svn:r673

Initial changes to intro.

svn:r672

Numerous notes of stuff to do from mtg with Roger; add outline for design section.

svn:r671

Note TODO items; add DROP relay cells

svn:r670

some scribblings on exit policies
somebody please go turn this into a section

svn:r669

and dirservers are better for non-clique situations

svn:r668

directories are signed so they can be cached elsewhere

svn:r667

figured out how to make autoconf a bit less viral
(thanks cherub)

svn:r666

Use daemon(3) function where available.

svn:r665

resolve warning

svn:r664

Two-pronged attack at my overzealous skew fixes.

The problem was that the fixes had us generating TLS certs with a
2-day lifetime on the assumption that we'd rotate fairly often.  In
fact, we never rotate our TLS keys.

This patch fixes the situation in 2 ways:
   1. It bumps the default lifetime back up to one year until we get
      rotation in place.
   2. It changes tor_tls_context_new() so that it doesn't leak memory
      when you call it more than once.

svn:r663

add the dirservers section

svn:r662

Router twins described in intro. Some more stuff in assumptions section.

svn:r661

Added censorship resistant refs. Answered Roger's key question with
more questions.

svn:r660

switch_id() no longer tries to log the user name when it's calld on
Windows, since we don't know whether it's the user or the group that
was set.

svn:r659

Clock skew fixes.

Allow some slop (currently 3 minutes) when checking certificate validity.

Change certificate lifetime from 1 year to 2 days.  Since we
regenerate regularly (we regenerate regularly, right??), this
shouldn't be a problem.

Have directories reject descriptors published too far in the future
(currently 30 minutes).  If dirservs don't do this:
    0) Today is January 1, 2000.
    1) A very skewed server publishes descriptor X with a declared
       publication time of August 1, 2000.
    2) The directory includes X.
    3) Because of certificate lifetime issues, nobody can use the
       skewed server.
    4) The server fixes its skew, and goes to republish a new descriptor Y
       with publication time of January 1, 2000.
    5) But because the directory already has a "more recent" descriptor X,
       it rejects descriptor "Y" as superseded!

This patch should make step 2 go away.

svn:r658

some minor tweaks

svn:r657

- fixed a bug in the id switching code -- setgid has to happen before
  setuid, because after we setuid we don't have the priviledges we
  need to setgid anymore, duh.  merged switch_user() and
  switch_group() into switch_id(), since that code has to be wound
  together.

- return -1 from switch_id() if it's not defined to do anything else.

- moved daemoinize(), write_pidfile(), and switch_id() from main.c to
  util.c

svn:r656

play with connection_edge_send_command
maybe more robust now

svn:r655

move default exit policy into config files

svn:r654

make end relay cells have payloads
move default exit policy into config files

svn:r653

added User and Group options -- if you set them, tor will try to
setuid and setgid respectively, and die if it can't.

(If the User option is set, tor will setgid to the user's gid as well.)

This happens after the pidfile is created, so that in cases where tor
needs to be root to work with the pidfile, it will at least be able to
create it, although it won't be able to delete it.  That sucks, but
it's somewhat better than not being able to create the pidfile in the
first place.

svn:r652

todo now reflects what we need to do.

svn:r651

force the admin to mkdir the datadirectory himself,
so he gets the permissions right.

also this means clients will never need to make the datadirectory.

also remind the admin to fix his clock before setting up his node.

svn:r650

fill in some lncs numbers

svn:r649

Adversary model mostly done? Some other small changes in assumptions et passim.

svn:r648

Update .cvsignores to exclude files generated due to recent build improvements

svn:r647