Rudimentary-but-sufficient passphrase-encrypted box code.

See crypto_pwbox.c for a description of the file format.

There are tests for successful operation, but it still needs
error-case tests.

More generic passphrase hashing code, including scrypt support

Uses libscrypt when found; otherwise, we don't have scrypt and we
only support openpgp rfc2440 s2k hashing, or pbkdf2.

Includes documentation and unit tests; coverage around 95%. Remaining
uncovered code is sanity-checks that shouldn't be reachable fwict.

Move secret-to-key functionality into a separate module

I'm about to add more of these, so we might as well trudge forward.

Rename secret_to_key to secret_to_key_rfc2440

Merge remote-tracking branch 'origin/maint-0.2.5'

Resume expanding abbreviations for command-line options

The fix for bug 4647 accidentally removed our hack from bug 586 that
rewrote HashedControlPassword to __HashedControlSessionPassword when
it appears on the commandline (which allowed the user to set her own
HashedControlPassword in the torrc file while the controller generates
a fresh session password for each run).

Fixes bug 12948; bugfix on 0.2.5.1-alpha.

Initialize crash handler in unit tests

This way, we don't get locking failures when we hit an assertion in
the unit tests.  Also, we might find out about unit test bugs from
folks who can't do gdb.

Merge remote-tracking branch 'public/bug10163'

Remove the assigned-but-unused chosen_named_idx local variable

It had been used in consensus method 1.  But now that 13 is the
minimum (see #10163), we don't need it around.

Found by sysrqb.

Fix another memory leak case in sandbox.c:prot_strings()

This is related to the rest of 523587a5cf62119baa01822e2e783925726a790b

Use the ARRAY_LENGTH macro more consistently.

Remove the non-implemented versions of the sandbox _array() functions

Whitespace fixes

Terser ways to sandbox-allow related filenames

Using the *_array() functions here confused coverity, and was actually
a bit longer than we needed.  Now we just use macros for the repeated
bits, so that we can mention a file and a suffix-appended version in
one line.

Merge branch 'bug11792_1_squashed'

Conflicts:
src/or/circuitlist.c

When looking for conns to close, count the age of linked queued data

Specifically, count the age of the data queued in a linked directory
connection's buffers when counting a stream's age.

Kill non-tunneled directory connections when handling OOM.

Another part of 11792.

Count zlib buffer memory towards OOM totals.

Part of 11792.

(Uses the zlib-endorsed formula for memory needs for inflate/deflate
from "zconf.h".)

Tidy status handling in rendservice.c

We had some code to fix up the 'status' return value to -1 on error
if it wasn't set, but it was unreachable because our code was
correct.  Tweak this by initializing status to -1, and then only
setting it to 0 on success.  Also add a goto which was missing: its
absence was harmless.

[CID 718614, 718616]

Merge branch 'coverity_20140821'

fix memory leak on failure in sandbox.c:prot_strings()

[CID 1205014]

Store sandbox params as char *, since that's what they are.

This allows coverity to infer that we aren't leaking them.

[Fixes a lot of CIDs]

Check for duplicate arguments to tor-gencert

Found by coverity, which noticed that if you said
  tor-gencert -i identity1 -i identity2
we would leak "identity1".

[CID 1198201, 1198202, 1198203]

Mark one use of networkstatus_check_document_signature as (void)

Also explain why we aren't checking its return value.

[CID 1198197]

remove meaningless checks for chunks==NULL in dirserv stuff

Also, make it clearer that chunks cannot be NULL

[CID 1031750, 1031751]

Suppress coverity warning about overflowing in safe_mem_is_zero

The unsigned underflow here is defined and intentional.

CID 202482

Avoid performing an assert on an always-true value

This was freaking out coverity.

[CID 743379]

Suppress coverity warning about overflowing in tor_memeq.

The unsigned underflow here is defined and intentional.

CID 202482

Check return values for fcntl in tor_spawn_background.

[CID 718609]

Allow rend_service_intro_free to get called with NULL

(We allowed it previously, but produced an LD_BUG message when it
happened, which is not consistent

Also, remove inconsistent NULL checks before calling
rend_service_intro_free.

(Removing the check is for CID 718613)

Remove a dead check for errmsg in handle_control_authenticate

Coverity doesn't like doing NULL checks on things that can't be
NULL; I like checking things where the logic for their not being
NULL is nontrivial.  Let's compromise, and make it obvious that this
field can't be NULL.

[Coverity CID 202004]

Add a missing goto to an unusable branch and make the branch LD_BUG.

(It's LD_BUG to reach this point because the hashed password values
were tested earlier from options_validate)

[Coverity CID 1232091]

Explicitly cast when dividing ints then implicitly casting to double.

Coverity thinks that when we do "double x = int1/int2;", we probably
meant "double x = ((double)int1) / int2;".  In these cases, we
didn't.

[Coverity CID 1232089 and 1232090]

Fix memory leaks in test_entrynodes.c

[Coverity CID 1232087 and 1232088]

Make the two branches of tor_tls_used_v1_handshake into one.

(Coverity thinks that "if (a) X; else X;" is probably a bug.)

[Coverity CID 1232086]

Merge branch 'bug12205_take2_squashed'

Whitespace fixes

Small cleanups to test_entry_is_time_to_retry

Unit testing entry_is_time_to_retry().

Write comments for members of periods array.

Rewriting entry_is_time_to_retry() using table approach.

Merge branch 'bug10116_squashed'

Don't allocate an extra smartlist in the OOM handler

Fixes issue 10116

fix remaining compilation problems

Fix return value of tor_fd_seekend.

Previously, we had documented it to return -1 or 0, when in fact
lseek returns -1 or the new position in the file.

This is harmless, since we were only checking for negative values
when we used tor_fd_seekend.

Allow named pipes for our log files.

Closes ticket 12061. Based on a patch from "carlo von lynX" on tor-dev at
  https://lists.torproject.org/pipermail/tor-dev/2014-April/006705.html

Merge remote-tracking branch 'public/bug11787'

Changes file for bug 11787

Merge remote-tracking branch 'public/bug12908_025'

Warn if Tor is a relay and a HS

Closes 12908; see #8742

Merge remote-tracking branch 'public/bug12728_024'

Fix entrynodes test fails because of outdated test vectors.

Merge remote-tracking branch 'public/bug12700_024'

When counting memory from closing a connection, count the dir conn too

Fix part of bug 11972

Fix relay_command_to_string(); solve 12700.

Two bugs here:
  1) We didn't add EXTEND2/EXTENDED2 to relay_command_to_string().

  2) relay_command_to_string() didn't log the value of unrecognized
     commands.

Both fixed here.

Merge remote-tracking branch 'origin/maint-0.2.5'

Fix windows warning introduced by 0808ed83f9cf312abe229

This will fix the warning
   "/src/or/config.c:6854:48: error: unused parameter 'group_readable'"
that I introduced while fixing 12864.

Bug not in any released version of Tor.

Improve comments in checkSpace.pl to explain how to fix its warnings

changes file for bug 10163 / proposal 215.

Remove implementation code for all pre-13 consensus methods.

Also remove a test for the way that we generated parameter votes
before consensus method 12.

Remove support for generating consensuses with methods <= 9.

The last patch disabled these; this one removes the code to implement
them.

No longer advertise or negotiate any consensus method before 13.

Implements proposal 215; closes ticket 10163.

Why?  From proposal 215:

   Consensus method 1 is no longer viable for the Tor network.  It
   doesn't result in a microdescriptor consensus, and omits other
   fields that clients need in order to work well.  Consensus methods
   under 12 have security issues, since they let a single authority
   set a consensus parameter.
...
   For example, while Tor 0.2.4.x is under development, authorities
   should really not be running anything before Tor 0.2.3.x.  Tor
   0.2.3.x has supported consensus method 13 since 0.2.3.21-rc, so
   it's okay for 0.2.4.x to require 13 as the minimum method.  We even
   might go back to method 12, since the worst outcome of not using 13
   would be some warnings in client logs.  Consensus method 12 was a
   security improvement, so we don't want to roll back before that.

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'asn/nickm-bug12864_025' into maint-0.2.5

Hand-fix a few global_circuit_list cases

Autoconvert most circuit-list iterations to smartlist iterations

Breaks compilation.

Used this coccinelle script:

@@
identifier c;
typedef circuit_t;
iterator name TOR_LIST_FOREACH;
iterator name SMARTLIST_FOREACH_BEGIN;
statement S;
@@
- circuit_t *c;
   ...
- TOR_LIST_FOREACH(c, \(&global_circuitlist\|circuit_get_global_list()\), head)
+ SMARTLIST_FOREACH_BEGIN(circuit_get_global_list(), circuit_t *, c)
  S
+ SMARTLIST_FOREACH_END(c);

Some documentation fixes for #12864.

Start converting circuitlist to smartlist.

Add scripts/coccinelle to scripts/README

Merge remote-tracking branch 'origin/maint-0.2.5'

Missing changes file for 3f683aadcd03c311c1

Looks like I forgot to commit this.

Remove stale printfs from buffer/zlib_fin_at_chunk_end test

These got committed by mistake.

Documentation fix for policy_summarize().

Spotted by "epilys"

Documentation fix on arguments to CookieAuthFileGroupReadable

We don't actually allow a group name, but the documentation implied
that we did.

Restore functionality for CookieAuthFileGroupReadable.

When we merged the cookieauthfile creation logic in 33c3e60a37, we
accidentally took out this feature.  Fixes bug 12864, bugfix on
0.2.5.1-alpha.

Also adds an ExtORPortCookieAuthFileGroupReadable, since there's no
reason not to.

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'public/bug12848_024' into maint-0.2.5

Conflicts:
src/or/circuitbuild.c

Merge remote-tracking branch 'origin/maint-0.2.5'

Apply an MSVC compilation fix from Gisle Vanem

This fixes a double-define introduced in 28538069b2f1909a7600ec6d

Merge remote-tracking branch 'public/use_calloc'

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'karsten/geoip6-aug2014' into maint-0.2.4

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Fix whitespace issues

Add changes file for bug12855

Apply coccinelle script to replace malloc(a*b)->calloc(a,b)

Add a simple coccinelle script to replace malloc->calloc

Coccinelle is a semantic patching tool that can automatically change
C code via semantic patching.

This script also replaces realloc with reallocarray as appropriate.

Add reallocarray clone so we can stop doing multiply-then-reallocate

Update geoip6 to the August 7 2014 database.

Update geoip to the August 7 2014 database.

Fix another case of 12848 in circuit_handle_first_hop

I looked for other places where we set circ->n_chan early, and found
one in circuit_handle_first_hop() right before it calls
circuit_send_next_onion_skin(). If onion_skin_create() fails there,
then n_chan will still be set when circuit_send_next_onion_skin()
returns. We should probably fix that too.

Add an extra check in channel_send_destroy for circID==0

Prevents other cases of 12848.

Don't send DESTROY to circID 0 when circuit_deliver_create_cell fails

Cypherpunks found this and wrote this patch.

Fix for 12848; fix on (I think) d58d4c0d, which went into 0.0.8pre1

Fix some URLs in the README

patch from mttp; fixes 12830

fix extra words in man page

Merge remote-tracking branch 'origin/maint-0.2.5'

Build circuits more readily when DisableNetwork goes to 0

When Tor starts with DisabledNetwork set, it would correctly
conclude that it shouldn't try making circuits, but it would
mistakenly cache this conclusion and continue believing it even
when DisableNetwork is set to 0. Fixes the bug introduced by the
fix for bug 11200; bugfix on 0.2.5.4-alpha.

fix three typos in comments

Correctly remove extraneous space in router family lines

Fixes bug 12728; bugfix on 0.2.1.7-alpha when the SPLIT_IGNORE_SPACE
option was added.