Use nodes in EntryNodes even if they're not fast/stable

instrument entry_is_live to tell why our guard isn't live

Be more willing to use an unsuitable circuit for exit.

Specifically, there are two cases: a) are we willing to start a new
circuit at a node not in your ExitNodes config option, and b) are we
willing to make use of a circuit that's already established but has an
unsuitable exit.

Now we discard all your circuits when you set ExitNodes, so the only
way you could end up with an exit circuit that ends at an unsuitable
place is if we explicitly ran out of exit nodes, StrictNodes was 0,
and we built this circuit to solve a stream that needs solving.

Fixes bug in dc322931, which would ignore the just-built circuit because
it has an unsuitable exit.

Abandon circs if the user changes Exclude*Nodes

If ExcludeNodes or ExcludeExitNodes changes on a config reload,
mark and discard all our origin circuits.

comments and cleanups, no actual changes

Make EntryNodes config option much more aggressive.

Before it would prepend your requested entrynodes to your list of guard
nodes, but feel free to use others after that. Now it chooses only
from your EntryNodes if any of those are available, and only falls back
to others if a) they're all down and b) StrictNodes is not set.

Also, now we refresh your entry guards from EntryNode at each consensus
fetch (rather than just at startup and then they slowly rot as the
network changes).

The goal here is to make users less likely to set StrictNodes, since
it's doing closer to what they expect it should be doing.

Switch to a StrictNodes config option.

This is step one of handling ExcludedNodes better. This first
step is just to make EntryNodes and ExitNodes do what they did
before.

fix some typos

start to document commonly used "param" arguments

Merge branch 'ewma'

Add a changelog entry for the circuit priority logic

Merge commit 'karsten/fix-bridge-stats-master-4'

Permit an empty "bridge-ips" line when parsing bridge stats.

Remove duplicate words and a duplicate newline.

Refactor out the 'find string at start of any line' logic.

We do this in too many places throughout the code; it's time to start
clamping down.

Also, refactor Karsten's patch to use strchr-then-strndup, rather than
malloc-then-strlcpy-then-strchr-then-clear.

Make changes to latest bridge-stats fixes as suggested by Nick.

Fix bridge statistics.

Fix statistics on client numbers by country as seen by bridges that were
broken in 0.2.2.1-alpha. Also switch to reporting full 24-hour intervals
instead of variable 12-to-48-hour intervals.

Move ChangeLog entry to the right place.

Remove v0 hidden service statistics code.

The HSAuthorityRecordStats option was used to track statistics of overall
hidden service usage on the version 0 hidden service authorities. With the
version 2 hidden service directories being deployed and version 0
descriptors being phased out, these statistics are not as useful anymore.

Goodbye, you fine piece of software; my first major code contribution to
Tor.

Merge commit 'karsten/fix-cell-stats'

Conflicts:
ChangeLog

Merge branch 'safelogging2'

Conflicts:
ChangeLog

Refactor the safe_str_*() API to make more sense.

The new rule is: safe_str_X() means "this string is a piece of X
information; make it safe to log."  safe_str() on its own means
"this string is a piece of who-knows-what; make it safe to log".

Merge commit 'origin/maint-0.2.1'

Stop using lround in or.h, and check for bad values of RECENT_CIRCUITS

Update translations.txt with new torbutton process.

Fix bug 1173: remove an assert(unsigned >= 0).

Merge commit 'sebastian/coverity'

Merge branch 'mathlog'

Refactor a bit so that it is safe to include math.h, and mostly not needed.

Document CircuitPriorityHalflife on the manpage

Change interface for configuring cell ewma algorithm.

The rule is now: take the value from the CircuitPriorityHalflife
config option if it is set.  If it zero, disable the cell_ewma
algorithm.  If it is set, use it to calculate the scaling factor.
If it is not set, look for a CircPriorityHalflifeMsec parameter in the
consensus networkstatus.  If *that* is zero, then disable the cell_ewma
algorithm; if it is set, use it to calculate the scaling factor.
If it is not set at all, disable the algorithm.

Merge commit 'sebastian/ewma2' into ewma

Conflicts:
src/or/relay.c

Fix various comment typos in ewma patch; found by arma.

Fix comment typos in container.c

Fix compile warning on Panther.

Apparently Panther doesn't like comparing ints and enums

Remove some dead code found by coverity, cid 404

In connection_dir_client_reached_eof, we make sure that we either
return when we get an http status code of 503 or handle the problem
and set it to 200. Later we check if the status code is 503. Remove
that check.

Fix Snow Leopard compile and a codestyle violation

When calculating the current tick, cap (tv_sec / EWMA_TICK_LEN) to an unsigned int.

Optimize cell-ewma circuit priority algorithm.

There are two big changes here:
  - We store active circuits in a priority queue for each or_conn,
    rather than doing a linear search over all the active circuits
    before we send each cell.
  - Rather than multiplying every circuit's cell-ewma by a decay
    factor every time we send a cell (thus normalizing the value of a
    current cell to 1.0 and a past cell to alpha^t), we instead
    only scale down the cell-ewma every tick (ten seconds atm),
    normalizing so that a cell sent at the start of the tick has
    value 1.0).

New controller command "getinfo config-text"

It returns the contents that Tor would write if you send it a SAVECONF
command, so the controller can write the file to disk itself.

Adjust EWMA patch to conform to whitespace style.

Favor quiet circuits when choosing which order to relay cells in.

Each circuit is ranked in terms of how many cells from it have been
relayed recently, using a time-weighted average.

This patch has been tested this on a private Tor network on PlanetLab,
and gotten improvements of 12-35% in time it takes to fetch a small
web page while there's a simultaneous large data transfer going on
simultaneously.

[Commit msg by nickm based on mail from Ian Goldberg.]

Enhance pqueue so we can remove items from the middle.

This changes the pqueue API by requiring an additional int in every
structure that we store in a pqueue to hold the index of that structure
within the heap.

Merge commit 'sebastian/fixes'

Merge commit 'sebastian/coverity'

Now that FOO_free(NULL) always works, remove checks before calling it.

Make rend_cache_entry_free() typecheck when possible.

Cache the parsed value of SafeLogging as an enum.

*_free functions now accept NULL

Some *_free functions threw asserts when passed NULL. Now all of them
accept NULL as input and perform no action when called that way.

This gains us consistence for our free functions, and allows some
code simplifications where an explicit null check is no longer necessary.

Fix typo in a comment

List all the excluded files for make check-spaces

The file listing for excluded files was outdated. tree.h doesn't
exist anymore, and several other files were missing.

Allow SafeLogging to exclude client related information

add changelog entry for making openssl 0.9.8m work

Merge commit 'origin/maint-0.2.1'

Improved workaround for disabled OpenSSL renegotiation.

It turns out that OpenSSL 0.9.8m is likely to take a completely
different approach for reenabling renegotiation than OpenSSL 0.9.8l
did, so we need to work with both. :p   Fixes bug 1158.

(patch by coderman; commit message by nickm)

Add ChangeLog entry for last fix.

Minor fix to buffer stats.

Do not segfault when writing buffer stats when we haven't observed a
single circuit to report about.  This is a minor bug that would only show
up in testing environments with no traffic and with reduced stats
intervals.

Merge commit 'debian-tor-0.2.2.6-alpha-1'

Merge branch 'debian-merge' into debian

* debian-merge: (81 commits)
  Drop debian/patches/0a58567c-work-with-reneg-ssl.dpatch (part of upstream)
  New upstream version
  bump to 0.2.2.6-alpha
  remove the 0.2.1.20 debian changelog from master's changelog
  Not everybody likes debugging printfs as much as I
  add the 0.2.1.20 changelog blurb, plus update the releasenotes
  Do not report a partially-successful detached signature add as failed.
  only complain when rejecting a descriptor if it has contact info
  clean up changelog for the 0.2.2.6-alpha release
  Fix compilation with with bionic libc.
  New upstream version
  Fix a memory leak on directory authorities during voting
  Fix building from a separate build directory.
  Add changelog entry to 0.2.2.x about openssl 0.9.8l fix
  Make Tor work with OpenSSL 0.9.8l
  Fix a URL in a log message.
  Implement DisableAllSwap to avoid putting secret info in page files.
  Fix bug 1113.
  Improve log statement when publishing v2 hs desc.
  Fix bug 1042.
  ...

Drop debian/patches/0a58567c-work-with-reneg-ssl.dpatch (part of upstream)

New upstream version

Merge commit 'tor-0.2.2.6-alpha' into debian-merge

* commit 'tor-0.2.2.6-alpha': (79 commits)
  bump to 0.2.2.6-alpha
  remove the 0.2.1.20 debian changelog from master's changelog
  Not everybody likes debugging printfs as much as I
  add the 0.2.1.20 changelog blurb, plus update the releasenotes
  Do not report a partially-successful detached signature add as failed.
  only complain when rejecting a descriptor if it has contact info
  clean up changelog for the 0.2.2.6-alpha release
  Fix compilation with with bionic libc.
  New upstream version
  Fix a memory leak on directory authorities during voting
  Fix building from a separate build directory.
  Add changelog entry to 0.2.2.x about openssl 0.9.8l fix
  Make Tor work with OpenSSL 0.9.8l
  Fix a URL in a log message.
  Implement DisableAllSwap to avoid putting secret info in page files.
  Fix bug 1113.
  Improve log statement when publishing v2 hs desc.
  Fix bug 1042.
  Fix an apparently bogus check; fortunately, it seems to be untriggered.
  Fix an accidentally removed free in 385853a282138a61, and repair a check.
  ...

Merge commit 'origin/maint-0.2.1'

fix race condition that can cause crashes at client or exit relay

Avoid crashing if the client is trying to upload many bytes and the
circuit gets torn down at the same time, or if the flip side
happens on the exit relay. Bugfix on 0.2.0.1-alpha; fixes bug 1150.

add a minimum for CircuitStreamTimeout, plus a man page

plus some other unrelated touchups that have been sitting in my
sandbox

New config option "CircuitStreamTimeout"

New config option "CircuitStreamTimeout" to override our internal
timeout schedule for how many seconds until we detach a stream from
a circuit and try a new circuit. If your network is particularly
slow, you might want to set this to a number like 60.

If somebody tries to overflow my dirport, don't log his IP by default.

aka Fix an instance where a Tor directory mirror might accidentally
log the IP address of a misbehaving Tor client. Bugfix on
0.1.0.1-rc.

clobber connections with different number than we clobber circuits

stop assuming that our downcasts have a struct offset of 0

shouldn't actually change anything, but who knows.

bump to 0.2.2.6-alpha-dev

Use the same mlockall checks with tor_set_max_memlock

Fix compilation on OSX 10.3.

On this OSX version, there is a stub mlockall() function
that doesn't work, *and* the declaration for it is hidden by
an '#ifdef _P1003_1B_VISIBLE'.  This would make autoconf
successfully find the function, but our code fail to build
when no declaration was found.

This patch adds an additional test for the declaration.

bump to 0.2.2.6-alpha

remove the 0.2.1.20 debian changelog from master's changelog

Not everybody likes debugging printfs as much as I

Merge commit 'origin/maint-0.2.1'

Conflicts:

debian/changelog

add the 0.2.1.20 changelog blurb, plus update the releasenotes

Do not report a partially-successful detached signature add as failed.

Also, regenerate the detached-signature document whenever any signatures are
successfully added.

only complain when rejecting a descriptor if it has contact info

clean up changelog for the 0.2.2.6-alpha release

Merge commit 'debian-tor-0.2.2.5-alpha-1'

Change the dependency on tsocks to torsocks | tsocks (see: #554717)

Allegedly echo -e is a bashism.  Remove it from debian/rules, we don't need it anyways (closes: #478631)

Change order of recommends from privoxy | polipo to polipo | privoxy.

Build-Depend on libssl-dev >= 0.9.8k-6.

libssl 0.9.8k-6 disabled autorenegotation, and the -dev package
introduced the SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION flag.

Since we now set that flag if available we want to make sure that it
*is* available when building.

Therefore build-depend on libssl-dev >= 0.9.8k-6.

If we build against earlier versions we will not work once libssl gets
upgraded to a version that disabled renegotiations.

Pick 0a58567ce3418f410cf1dd0143dd3e56b4a4bd1f from master git tree

work with libssl that has renegotiation disabled by default.
(debian/patches/0a58567c-work-with-reneg-ssl.dpatch)

Merge branch 'debian-merge' into debian

* debian-merge:
  New upstream version
  fix compile on windows
  bump to 0.2.2.5-alpha
  Move dizum to an alternate IP address.
  Ship test.h in release

New upstream version

Merge commit 'tor-0.2.2.5-alpha' into debian-merge

* commit 'tor-0.2.2.5-alpha':
  fix compile on windows
  bump to 0.2.2.5-alpha
  Move dizum to an alternate IP address.
  Ship test.h in release

Fix compilation with with bionic libc.

This fixes bug 1147:

 bionic doesn't have an actual implementation of mlockall();
 mlockall() is merely in the headers but not actually in the library.
 This prevents Tor compilation with the bionic libc for Android handsets.

Merge commit 'debian-tor-0.2.1.20-1' into maint-0.2.1

Merge branch 'debian-merge' into debian-0.2.1

* debian-merge: (37 commits)
  New upstream version
  bump to 0.2.1.20
  Move moria1 and Tonga to alternate IP addresses.
  read the "circwindow" parameter from the consensus
  Code to parse and access network parameters.
  Revert "Teach connection_ap_can_use_exit about Exclude*Nodes"
  Work around a memory leak in openssl 0.9.8g (and maybe others)
  Teach connection_ap_can_use_exit about Exclude*Nodes
  make some bug 1090 warnings go away
  Fix a memory leak when parsing a ns
  Fix obscure 64-bit big-endian hidserv bug
  turns out the packaging changes aren't in 0.2.1.20
  update changelog with bundle details
  Use an _actual_ fix for the byte-reverse warning.
  Use a simpler fix for the byte-reversing warning
  Fix compile warnings on Snow Leopard
  Add getinfo accepted-server-descriptor. Clean spec.
  Reduce log level for bug case that we now know really exists.
  Only send reachability status events on overall success/failure
  update the README instructions and OS X makefiles
  ...

New upstream version

Merge commit 'tor-0.2.1.20' into debian-merge

* commit 'tor-0.2.1.20': (36 commits)
  bump to 0.2.1.20
  Move moria1 and Tonga to alternate IP addresses.
  read the "circwindow" parameter from the consensus
  Code to parse and access network parameters.
  Revert "Teach connection_ap_can_use_exit about Exclude*Nodes"
  Work around a memory leak in openssl 0.9.8g (and maybe others)
  Teach connection_ap_can_use_exit about Exclude*Nodes
  make some bug 1090 warnings go away
  Fix a memory leak when parsing a ns
  Fix obscure 64-bit big-endian hidserv bug
  turns out the packaging changes aren't in 0.2.1.20
  update changelog with bundle details
  Use an _actual_ fix for the byte-reverse warning.
  Use a simpler fix for the byte-reversing warning
  Fix compile warnings on Snow Leopard
  Add getinfo accepted-server-descriptor. Clean spec.
  Reduce log level for bug case that we now know really exists.
  Only send reachability status events on overall success/failure
  update the README instructions and OS X makefiles
  Avoid segfault when accessing hidden service.
  ...

Fix a memory leak on directory authorities during voting

Fix a memory leak on directory authorities during voting that was
introduced in 0.2.2.1-alpha. Found via valgrind.

Fix building from a separate build directory.

Add changelog entry to 0.2.2.x about openssl 0.9.8l fix

Merge commit 'origin/maint-0.2.1'

Conflicts:
src/common/tortls.c

Make Tor work with OpenSSL 0.9.8l

To fix a major security problem related to incorrect use of
SSL/TLS renegotiation, OpenSSL has turned off renegotiation by
default.  We are not affected by this security problem, however,
since we do renegotiation right.  (Specifically, we never treat a
renegotiated credential as authenticating previous communication.)
Nevertheless, OpenSSL's new behavior requires us to explicitly
turn renegotiation back on in order to get our protocol working
again.

Amusingly, this is not so simple as "set the flag when you create
the SSL object" , since calling connect or accept seems to clear
the flags.

For belt-and-suspenders purposes, we clear the flag once the Tor
handshake is done.  There's no way to exploit a second handshake
either, but we might as well not allow it.

Fix a URL in a log message.

Disallow command line keywords with more than two dashes as prefix.

This might help fix cid 422, where coverity fails to notice that
argv strings are null-escaped.