Make 0.2.6.1-alpha ChangeLog prettier.

Add a draft blurb for 0.2.6.1-alpha

Reinvoke format_changelog.py

Also, tweak it so that it puts major deprecations and requirements
early in the changelog.

a few more style fixes for the changelog

Edit changelog entries for terseness and style.

Add in a few more changes entries for 0.2.6.1-alpha

(Also resort and rewrap)

Track down "bugfix on version" entries for 0.2.6.1-alpha changelog

Add another year to our copyright dates.

Because in 95 years, we or our successors will surely care about
enforcing the BSD license terms on this code.  Right?

Adding changes file for 9708.

Initial version of doc/TUNING.

Updating message that warns about running out of sockets we can use.

Fix smartlist_choose_node_by_bandwidth() so that it rejects ORs with BadExit flag.

Merge remote-tracking branch 'rl1987/feature10427'

Merge remote-tracking branch 'sebastian/bug13286'

Start on an 0.2.6.1-alpha changelog

I concatenated the remaining changes/* files, removed them, made the
headings more uniform, then told format_changelog.py to sort,
collate, and wrap them.

Remove changes files that have already been merged in release-0.2.5

(This means that changes/* is now "everything that changed since
0.2.5.10".)

Teach format_changelog.py to emit HTML.

Remove configure option to disable curve25519

By now, support in the network is widespread and it's time to require
more modern crypto on all Tor instances, whether they're clients or
servers. By doing this early in 0.2.6, we can be sure that at some point
all clients will have reasonable support.

Congratulate relay operator when OR is first started

When Tor first generates identity keypair, emit a log message that
thanks for their participation and points to new Tor relay lifecycle
document.

Fix a crash bug introduced in 223d354e3.

Arma found this and commented on #11243.  Bug not in any released
version of Tor.

Merge remote-tracking branch 'origin/maint-0.2.5'

bump version to 0.2.5.10-dev

Forward-port changelog and release notes for 0.2.5.10

Switch new time tests to use SIZEOF_TIME_T, not sizeof(time_t)

Otherwise, we get implicit conversion warning on some platforms.

Fix minor typos, two line lengths, and a repeated include

Fix a changes typo spotted by wfn

Merge remote-tracking branch 'public/bug11824_v2'

Merge remote-tracking branch 'public/ticket6938'

Conflicts:
src/tools/tor-resolve.c

give dist-master an alias

Merge remote-tracking branch 'teor/bug13476-improve-time-handling'

Conditionally compile time testing code based on integer size

Merge remote-tracking branch 'teor/memwipe-more-keys'

Merge remote-tracking branch 'origin/maint-0.2.5'

This is an "ours" merge so we can leave the version in master alone.

bump maint-0.2.5 to 0.2.5.9-rc-dev

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Whoops, bump the version properly.

bump maint-0.2.4 to 0.2.4.25-dev

forward-port the 0.2.4.25 changelog to master changelog and releasenotes

Use a macro to indicate "The ecdhe group we use by default".

This might make Coverity happier about the if statement where we
have a default case that's the same as one of the other cases. CID 1248515

Fix a use-after-free error in cleaned-up rouerlist code.

Bug not in any released tor.  This is CID 1248521

explain how to publish tarballs now that webwml has gone to git

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Note that our #13426 fix is also a #13471 fix.

See also http://marc.info/?l=openssl-dev&m=141357408522028&w=2

format_changelog: Sort sections case-insensitively

format_changelog.py: fix spelling of "hyphenatable"

format_changelog.py: tweak hyphenation rules

Mark all our generated command names, and anything with a
double-hyphen, as unhyphenatable.

Teach format_changelog to sort and collate sections.

Give it options to turn off collation and/or wrapping.

Memwipe more keys after tor has finished with them

Ensure we securely wipe keys from memory after
crypto_digest_get_digest and init_curve25519_keypair_from_file
have finished using them.

Fixes bug 13477.

Further unit test tor_timegm and parse_rfc1123_time

Add unit tests for tor_timegm signed overflow,
tor_timegm and parse_rfc1123_time validity checks,
and correct_tm year clamping.
Unit tests (visible) fixes in bug 13476.

Clamp (some) years supplied by the system to 1 CE

Clamp year values returned by system localtime(_r) and
gmtime(_r) to year 1. This ensures tor can read any
values it might write out.

Fixes bug 13476.

format_changelog.py: learn about the ReleaseNotes format

Improve date validation in HTTP headers

Check all date/time values passed to tor_timegm
and parse_rfc1123_time for validity, taking leap
years into account.
Improves HTTP header validation.

Avoid unlikely signed integer overflow in tor_timegm
on systems with 32-bit time_t.
Fixes bug 13476.

Use correct day of year in correct_tm()

Set the correct day of year value in correct_tm() when the
system's localtime(_r) or gmtime(_r) functions fail to set struct tm.

Fixes bug 13476.

Merge remote-tracking branch 'origin/maint-0.2.5'

Downgrade 'unexpected sendme cell from client' to PROTOCOL_WARN

Closes 8093.

Merge remote-tracking branch 'yawning/bug13314'

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'origin/maint-0.2.4' into maint-0.2.5

Merge remote-tracking branch 'origin/maint-0.2.3' into maint-0.2.4

Merge branch 'no_sslv3_023' into maint-0.2.3

Disable SSLv3 unconditionally. Closes ticket 13426.

The POODLE attack doesn't affect Tor, but there's no reason to tempt
fate: SSLv3 isn't going to get any better.

Emit fewer spurious lines in cov-diff output.

Define a strnlen replacement on platforms (win32) that lack it

Right now this is only needed for test_util_format_time_interval, so
define it as a static function.  We can move it into compat later if
we need to.

Merge remote-tracking branch 'public/bug11243_squashed'

Add comments to can_dl_again usage

Note that parse-list functions may add duplicate 'invalid' entries.

Bugfixes on bug11243 fix for the not-added cases and tests

 1. The test that adds things to the cache needs to set the clock back so
    that the descriptors it adds are valid.

 2. We split ROUTER_NOT_NEW into ROUTER_TOO_OLD, so that we can
    distinguish "already had it" from "rejected because of old published
    date".

 3. We make extrainfo_insert() return a was_router_added_t, and we
    make its caller use it correctly.  This is probably redundant with
    the extrainfo_is_bogus flag.

Use symbolic constants for statuses in microdescs_add_to_cache.

Suggested by Andrea in her review of 11243.

Commit the script I used to generate signed ri and ei documents

Don't reset the download failure status of any object marked as impossible

Unit tests for 11243: loading ri, ei, mds from lists

These tests make sure that entries are actually marked
undownloadable as appropriate.

Base tests for 11243: test parsing for md, ei, and ri.

We didn't really have test coverage for these parsing functions, so
I went and made some.  These tests also verify that the parsing
functions set the list of invalid digests correctly.

Treat unparseable (micro)descriptors and extrainfos as undownloadable

One pain point in evolving the Tor design and implementing has been
adding code that makes clients reject directory documents that they
previously would have accepted, if those descriptors actually exist.
When this happened, the clients would get the document, reject it,
and then decide to try downloading it again, ad infinitum.  This
problem becomes particularly obnoxious with authorities, since if
some authorities accept a descriptor that others don't, the ones
that don't accept it would go crazy trying to re-fetch it over and
over. (See for example ticket #9286.)

This patch tries to solve this problem by tracking, if a descriptor
isn't parseable, what its digest was, and whether it is invalid
because of some flaw that applies to the portion containing the
digest.  (This excludes RSA signature problems: RSA signatures
aren't included in the digest.  This means that a directory
authority can still put another directory authority into a loop by
mentioning a descriptor, and then serving that descriptor with an
invalid RSA signatures.  But that would also make the misbehaving
directory authority get DoSed by the server it's attacking, so it's
not much of an issue.)

We already have a mechanism to mark something undownloadable with
downloadstatus_mark_impossible(); we use that here for
microdescriptors, extrainfos, and router descriptors.

Unit tests to follow in another patch.

Closes ticket #11243.

Merge remote-tracking branch 'isis/bug12951_r1'

Clean whitespace in last patch.

Avoid overflow in format_time_interval, create unit tests

Fix an instance of integer overflow in format_time_interval() when
taking the absolute value of the supplied signed interval value.
Fixes bug 13393.

Create unit tests for format_time_interval().

update pointer to faq entry

Remove is_router_version_good_for_possible_guard()

The versions which this function would keep from getting the guard
flag are already blocked by the minimum version check.

Closes 13152.

Merge remote-tracking branch 'public/bug10816'

Merge remote-tracking branch 'teor/bug-13163-AlternateAuthorities-type-handling-fixed'

Merge remote-tracking branches 'teor/issue-13161-test-network' and 'teor/issue-13161-TestingDirAuthVoteExit'

Merge remote-tracking branch 'teor/test-network-hang-on-make-j2'

Bitwise check BRIDGE_DIRINFO

Bitwise check for the BRIDGE_DIRINFO flag, rather than checking for
equality.

Fixes a (potential) bug where directories offering BRIDGE_DIRINFO,
and some other flag (i.e. microdescriptors or extrainfo),
would be ignored when looking for bridge directories.

Final fix in series for bug 13163.

Improve DIRINFO flags' usage comments

Document usage of the NO_DIRINFO and ALL_DIRINFO flags clearly in functions
which take them as arguments. Replace 0 with NO_DIRINFO in a function call
for clarity.

Seeks to prevent future issues like 13163.

Stop using default authorities with both Alternate Dir and Bridge Authority

Stop using the default authorities in networks which provide both
AlternateDirAuthority and AlternateBridgeAuthority.

This bug occurred due to an ambiguity around the use of NO_DIRINFO.
(Does it mean "any" or "none"?)

Partially fixes bug 13163.

Exit test-network with status of chutney verify

Preserve previous semantics of src/test/test-network.sh by exiting with
the exit status of chutney verify, even though the latest version ends
with chutney stop.

fix some typos in the man page

Stop an apparent test-network hang when used with make -j2

If (GNU) Make 3.81 is running processes in parallel using -j2 (or more),
it waits until all descendent processes have exited before it returns to
the shell.

When a command like "make -j2 test-network" is run, this means that
test-network.sh apparently hangs until it either make is forcibly
terminated, or all the chutney-launched tor processes have exited.

A workaround is to use make without -j, or make -j1 if there is an
existing alias to "make -jn" in the shell.

We resolve this bug in tor by using "chutney stop" after "chutney verify"
in test-network.sh.

Merge remote-tracking branch 'origin/maint-0.2.5'

Merge remote-tracking branch 'public/bug13325_024' into maint-0.2.5

Run correctly on OpenBSD systems without SSL_METHOD.get_cipher_by_char

Also, make sure we will compile correctly on systems where they
finally rip it out.

Fixes issue #13325.  Caused by this openbsd commit:

   ​http://marc.info/?l=openbsd-cvs&m=140768179627976&w=2

Reported by Fredzupy.

Send back SOCKS5 errors for all of the address related failures.

Cases that now send errors:
 * Malformed IP address (SOCKS5_GENERAL_ERROR)
 * CONNECT/RESOLVE request with IP, when SafeSocks is set
   (SOCKS5_NOT_ALLOWED)
 * RESOLVE_PTR request with FQDN (SOCKS5_ADDRESS_TYPE_NOT_SUPPORTED)
 * Malformed FQDN (SOCKS5_GENERAL_ERROR)
 * Unknown address type (SOCKS5_ADDRESS_TYPE_NOT_SUPPORTED)

Fixes bug 13314.

Add test-network delay option

Add a --delay option to test-network.sh, which configures the delay before
the chutney network tests for data transmission. The default remains at
18 seconds if the argument isn't specified.

Apparently we should be using bootstrap status for this (eventually).

Partially implements ticket 13161.

test-network.sh: Use "/bin/echo -n" rather than builtin echo

The default shell on OS X is bash, which has a builtin echo. When called
in "sh" mode, this echo does not accept "-n". This patch uses "/bin/echo -n"
instead.

Partially fixes issue 13161.

Add TestingDirAuthVoteExit option (like TestingDirAuthVoteGuard)

Add the TestingDirAuthVoteExit option, a list of nodes to vote Exit for,
regardless of their uptime, bandwidth, or exit policy.

TestingTorNetwork must be set for this option to have any effect.

Works around an issue where authorities would take up to 35 minutes to
give nodes the Exit flag in a test network, despite short consensus
intervals. Partially implements ticket 13161.

Clear the cached address from resolve_my_address() when our IP changes

Closes 11582; patch from "ra".

continue our habit of specifying the default in the manpage

Merge remote-tracking branch 'origin/maint-0.2.5'