Don't allow tor2web-mode Tors to connect to non-HS addresses

The client's anonymity when accessing a non-HS address in tor2web-mode
would be easily nuked by inserting an inline image with a .onion URL, so
don't even pretend to access non-HS addresses through Tor.

Warn loudly on startup and SIGHUP if Tor is built for a non-anonymous mode

Add a compile-time #define to control whether Tor runs in 'tor2web mode'

The Tor2webMode torrc option is still required to run a Tor client in
'tor2web mode', but now it can't be turned on at runtime in a normal build
of Tor.  (And a tor2web build of Tor can't be used as a normal Tor client,
so we don't have to worry as much about someone distributing packages with
this particular pistol accessible to normal users.)

Add Tor2webMode configuration option

Update check-spaces to remove false positive for timercmp macro

The timercmp macro uses triggers a "space between function name and
opening parentheses" warning for the check spaces script. Work around
this by simply disabling the check for all "functions" named 'op()'.

appease check-spaces

Fix compile warning in tor_inet_pton() (on 64bit)

This slipped through into 0.2.3.8-alpha unfortunately.

Merge branch 'bug2474'

Had to resolve conflicts wrt the " (using bufferevents)" addition to the
startup string.

Conflicts:
src/or/main.c

Tweak the "this is not a stable release" warning some more

Merge remote-tracking branch 'origin/maint-0.2.2'

Merge remote-tracking branch 'public/bug4230' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.2'

Fix a compile warning on 64bit OS X

Backport of 68475fc5c5a806ebbb5657de1667dab2c3e09b7c which accidentally
only made it into master. Fixes bug 4547. Bug isn't in any released
version.

sebastian is the new karsten, i hear

bump to 0.2.3.8-alpha-dev

Fix a compile warning on 64bit OS X

bump to 0.2.3.8-alpha

add a blurb for 0.2.3.8-alpha

and rm the old ones

fold in more changes files

update the man page for the new AuthDirFastGuarantee value

raise AuthDirFastGuarantee from 20KB to 100KB

This patch reverts part of 39ceda7e05d7 (where it used to be 100KB).

apparently or_options_t likes being a const in master

Merge branch 'maint-0.2.2'

Conflicts:
src/or/dirserv.c

man page entries for AuthDir{Fast,GuardBW}Guarantee

parameterize bw cutoffs to guarantee Fast and Guard flags

Now it will be easier for researchers to simulate Tor networks with
different values. Resolves ticket 4484.

fold in more changes entries

Merge branch 'bug4518' into maint-0.2.2

further cleanups

fold in more changes entries

Merge remote-tracking branch 'origin/maint-0.2.2'

Merge remote-tracking branch 'public/bug3963' into maint-0.2.2

Merge branch 'bug4360'

Changes file for bug4360

Merge remote-tracking branch 'origin/maint-0.2.2'

Changes file for bug4521 backports.

Sockets are unsigned on windows

this gets rid of a warning about signed/unsigned comparison

This is a backport of 0a5338e03cdf14ef80584c6ff8adeb49200b8a76 that
accidentally only went into master

Log more loudly on a bad cert from an authority.

Clock skew made this situation way too frequent so we demoted it to
"protocol_warn", but when there's an authority, it should really just
be warn.

Get rid of an unused parameter warning on win

This is a backport of bed79c47f4ec0ee72b19e2b81c54131d516d07ef which
accidentally only went into master

changes file for bug4515

Only call cull_wedged_cpuworkers once every 60 seconds.

The function is over 10 or 20% on some of Moritz's profiles, depending
on how you could.

Since it's checking for a multi-hour timeout, this is safe to do.

Fixes bug 4518.

Imporved unit test coverage for tor_inet_pton

Minor tor_inet_pton bug fixes

In particular:
* Disallow "0x10::"
* Don't blow up on ":"
* Disallow "::10000"

Merge remote-tracking branch 'origin/maint-0.2.2'

Don't log about stats when running as a client without geoip

Completely disable stats if we aren't running as a relay. We won't
collect any anyway, so setting up the infrastructure for them and
logging about them is wrong. This also removes a confusing log
message that clients without a geoip db would have seen.

Fixes bug 4353.

Merge remote-tracking branch 'public/benchmark'

Fix a couple of memory leaks in rend_add_service spotted by coverity

trivial code cleanup in generate_v2_networkstatus_opinion()

fix trivial typo

somebody should s/authoritative directory server/directory authority/g
at some point

Merge remote-tracking branch 'sebastian/bug2893'

Merge remote-tracking branch 'origin/maint-0.2.2'

Merge branch 'bug4457_master'

Merge branch 'bug4457_022' into maint-0.2.2

Eat all whitespace after a control command

allow manual control port authenticate via netcat

Fix a check-spaces complaint

Don't allow building on platforms where AF_UNSPEC != 0

Don't fail to send netinfo if real_addr is unset

If we haven't set real_addr on a connection, we also now that _base.addr
hasn't been tampered with. So we can use that.

Merge branch 'bug4371_squashed'

Make certificate skew into a protocol warning

Allow up to a 30 days future skew, 48 hours past skew in certs.

Merge remote-tracking branch 'sebastian/bug4469'

Merge remote-tracking branch 'origin/maint-0.2.2'

Fix compile warnings on windows

Use real_addr in send_netinfo

Reported by "troll_un"; bugfix on 0.2.0.10-alpha; fixes bug 4349.

Merge remote-tracking branch 'public/bug4367'

Disable IOCP and retry event_base_new_with_config once on failure

This is a fancier bug4457 workaround for 0.2.3.  In 0.2.2, we could
just tell Libevent "Don't enable locking!" so it wouldn't try to make
the event_base notifiable.  But for IOCP, we need a notifiable base.
(Eventually, we'll want a notifiable base for other stuff, like
multithreaded crypto.)  So the solution is to try a full-featured
initialization, and then retry with all the options turned off if that
fails.

Merge remote-tracking branch 'public/bug4457_022' into bug4457_master

Conflicts:
src/common/compat_libevent.c

Resolving conflict by not taking 7363eae13cb8 ("Use the
EVENT_BASE_FLAG_NOLOCK flag to prevent socketpair() invocation"): in
Tor 0.2.3.x, we _do_ sometimes use notifiable event bases.

Detect failure from event_init() or event_base_new_with_config()

Use the EVENT_BASE_FLAG_NOLOCK flag to prevent socketpair() invocation

In Tor 0.2.2, we never need the event base to be notifiable, since we
don't call it from other threads.  This is a workaround for bug 4457,
which is not actually a Tor bug IMO.

Merge remote-tracking branch '4ZM/topic/test/4433_address'

Merge remote-tracking branch 'origin/maint-0.2.2'

Merge remote-tracking branch 'origin/maint-0.2.1' into maint-0.2.2

Merge remote-tracking branch 'karsten/geoip-november2011' into maint-0.2.1

Fix test_util.c compilation on MSVC

"Those '{}' constructs are not well liked by MSVC (cl v.16.xx)."

Received on tor-dev; fixes bug on 0.2.3.3-alpha.

All-in-one benchmark test for cell crypto

Convert bench_dmap to produce reasonable output.

New src/test/bench.c to allow us to actually _run_ benchmark code

Yes, the timing functions are suboptimal.  Please improve!

Remove the torint.h include from aes.h

This hasn't been needed for a while, there's nothing in aes.h now that
would need uint* stuff.

Fix the bench_{aes,dmap} test functions to work with TT

TT expects them to be named test_bench_{aes,dmap}. Also change the
DISABLED macro to reflect that.

Remove vestiges of RIJNDAEL_COUNTER_OPTIMIZATION

Stop using "u32" and "u8" in aes.c

Dump our internal AES implementation

This thing was pretty pointless on versions of OpenSSL 0.9.8 and later,
and almost totally pointless on OpenSSL 1.0.0.

Also, favor EVP by default, since it lets us get hardware acceleration
where present.  (See issue 4442)

Changes file for patches from 4ZM

Merge remote-tracking branch '4ZM/topic/test/4434_address'

Unit tests for tor_addr_to_str

Unit tests for tor_addr_to_PTR_name

Return value bugfix of tor_addr_to_PTR_name

Returns value semantics was inconsitent between IPv4 and IPv6

Fixed buffer bounds check bug in tor_addr_to_str

Unit tests for tor_inet_ntop

Fixed of-by-one error in tor_inet_ntop

The of-by-one error could lead to 1 byte buffer over runs IPv6 for addresses.

Unit tests for eat_whitespace functions

Unit test for n_bits_set func

Unit test for hex_str func

Note: Too long input is undefined by contract. That behaviour should not be asserted in test.

Correct the handling of overflow behavior in smartlist_ensure_capacity

The old behavior was susceptible to the compiler optimizing out our
assertion check, *and* could still overflow size_t on 32-bit systems
even when it did work.

Merge remote-tracking branch 'origin/maint-0.2.2'

Merge remote-tracking branch 'rransom-tor/bug4426' into maint-0.2.2

Merge remote-tracking branch 'origin/maint-0.2.2'

Don't warn when compiling with --disable-threads

STMT_VOID semantics suggested by nick, thanks!

Rewrite comment at head of eventdns.c

Let's make it more obvious to the everyday reader that eventdns.c is
  a) Based on Libevent's evdns.c
  b) Slated for demolition
  c) Supposed to keep API-compatibility with Libevent.
  d) Not worth tweaking unless there's a bug.