Merge branch 'prop365_interop' into 'main'

Implement the C-tor parts of prop365

Closes #41156

See merge request tpo/core/tor!949

changes file for prop365 support

HTTP CONNECT: Support OPTIONS.

Prop365 calls for this.

HTTP CONNECT: Accept Tor-Stream-Isolation too.

Extensions starting with X- are deprecated per RFC 6648,
so we've started to accept Tor-Stream-Isolation too.

HTTP CONNECT: Warn on Proxy-Authorization in legacy format.

To avoid confusing with other apps, we want applications to
deliberately choose a format that indicates that they know they're using Tor
for isolation.  That's "Basic" auth, with username "tor" and
password chosen for isolation.

HTTP CONNECT: Reject request trying to use Arti RPC.

HTTP CONNECT: Return 503 for RESOLVEFAILED and NOROUTE

This is more correct.

HTTP CONNECT: Send Via/Server and Tor-Capabilities headers

We want to send these, per prop365, to indicate that we're speaking
Tor-flavored HTTP CONNECT, and to indicate our software version
and capabilities.

HTTP CONNECT: Close silently under some circumstances.

Notably, we want to close silently if we get anything other than
a well-formed HTTP request that contains _either_ a CONNECT
command, or some other command with "Host" set to localhost.

This makes it harder for hostile webpages to use DNS rebinding to
probe for whether a Tor HTTP CONNECT proxy is running locally.
(Tor Browser already defends against this via Noscript,
but other browsers don't).

For more information see prop365, and torspec!437.

Merge branch 'unused-code' into 'main'

remove unused function

See merge request tpo/core/tor!945

remove unused function

this function should have been removed in 2014 as part of commit 415a8413

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/943' into maint-0.4.8

Merge branch 'maint-0.4.8'

version: Bump version to 0.4.8.19-dev

Merge branch 'maint-0.4.8'

version: Bump version to 0.4.8.19

Merge branch 'maint-0.4.8'

fallbackdir: Update list generated on October 06, 2025

Update geoip files to match ipfire location db, 2025/10/06.

Merge branch 'dirport-cleanup' into 'main'

refactor since advertised dir_port is 0 (except dir auths)

See merge request tpo/core/tor!940

Merge branch 'typos2' into 'main'

simple comment and whitespace fixes

See merge request tpo/core/tor!939

build: Add -fcf-protection=full

Defense in depth and good compiler security option.

Closes #41139

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'manpage-grammar' into 'main'

fix AuthDirRejectRequestsUnderLoad man page grammar

See merge request tpo/core/tor!941

fix AuthDirRejectRequestsUnderLoad man page grammar

refactor: simplify supports_tunnelled_dir_requests handling

refactor router_dirport_seems_reachable() out

refactor since advertised dir_port is 0 (except dir auths)

no behavior change intended

stop telling relay operators their DirPort must be reachable

in the past we had separate dirport reachability checks, but those are
gone now after https://bugs.torproject.org/tpo/core/tor/2667

simple comment and whitespace fixes

Merge branch 'maint-0.4.8'

ci: Unpin TPA runners, the CI failure has been resolved

Signed-off-by: David Goulet <dgoulet@torproject.org>

process: Don't close all FDs on new spawn

Fixes #40990

Signed-off-by: David Goulet <dgoulet@torproject.org>

ci: Revert i386 minimal to use Bullseye

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.8'

ci: Pin TPA runners for now

For unknown reasons, the non TPA runners lead to this failure:

slow/process/callbacks:
  FAIL ../../src/test/test_process_slow.c:157: assert(timer_tick_count OP_LT 10): 10 vs 10
  FAIL ../../src/test/test_process_slow.c:188: assert(ret OP_EQ 0): -1 vs 0
  FAIL ../../src/test/test_process_slow.c:240: assert(smartlist_len(process_data->stdout_data) OP_EQ 12): 0 vs 12
  [callbacks FAILED]

slow/process/nonexistent_executable: Sep 30 13:29:58.340 [err] tor_assertion_failed_(): Bug: ../../src/core/mainloop/mainloop.c:750: shutdown_did_not_work_callback: Assertion line should be unreached failed; aborting. (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug: Tor 0.4.8.18-dev: Assertion line should be unreached failed in shutdown_did_not_work_callback at ../../src/core/mainloop/mainloop.c:750: . Stack trace: (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(log_backtrace_impl+0x57) [0x5648f4b4fef7] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(tor_assertion_failed_+0x147) [0x5648f4b5d837] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x1b3676) [0x5648f4b0b676] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libevent-2.1.so.7(+0x21482) [0x7f75a879c482] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libevent-2.1.so.7(event_base_loop+0x49f) [0x7f75a879cc1f] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x1b4024) [0x5648f4b0c024] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(run_main_loop_until_done+0x35) [0x5648f4b0fa45] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x81d3d) [0x5648f49d9d3d] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x82237) [0x5648f49da237] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(+0x9aeb4) [0x5648f49f2eb4] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(testcase_run_one+0x72) [0x5648f49f2f82] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(tinytest_main+0x104) [0x5648f49f3814] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(main+0x493) [0x5648f49d32c3] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libc.so.6(+0x2724a) [0x7f75a803724a] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     /lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0x85) [0x7f75a8037305] (on Tor 0.4.8.18-dev )
Sep 30 13:29:58.341 [err] Bug:     ./src/test/test-slow(_start+0x21) [0x5648f49d33e1] (on Tor 0.4.8.18-dev )

It is unclear why this is being triggered only on 0.4.8 and non TPA runners
(not happening on main) thus for now pin the runners until we either figure
this one out or deprecate 0.4.8

Signed-off-by: David Goulet <dgoulet@torproject.org>

ci: Match maint-0.4.8 file

Will allow forward merging from fixes in 0.4.8

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.8'

Fix log integer format

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/937' into maint-0.4.8

maint: fix formatting of changes file (v2)

flow-ctrl: fix line length warnings

maint: fix formatting of changes file

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/936' into maint-0.4.8

Merge branch 'maint-0.4.8'

geoip: Upgrade crates to their latest

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maxhsdircache' into 'main'

fix default MaxHSDirCacheBytes setting

See merge request tpo/core/tor!928

Merge branch 'maint-0.4.8'

geoip: Fix cargo clippy warning

Signed-off-by: David Goulet <dgoulet@torproject.org>

geoip: Fix cargo clippy warning

Signed-off-by: David Goulet <dgoulet@torproject.org>

flow-ctrl: improve log line

flow-ctrl: add XOFF grace period

This is meant to reduce the number of XOFF sent, especially on conflux
circuits.

flow-ctrl: indentation-only change

This is an intermediate commit to hopefully make reviewing easier. Adds
indentation and a `{}` scope.

Reorder TLS group preferences to work around LibreSSL bug

Merge branch 'ticket41117' into 'main'

Bulletproof the "get_mozilla_ciphers" script

Closes #41117

See merge request tpo/core/tor!933

Bulletproof the "get_mozilla_ciphers" script

Reviewers have noted that the script's logic treats all "enabled"
flags in StaticPrefList.yaml (other than an explicit False) as True.
That's not so great, since the flag can also be a string, and we
don't necessarily want to treat all strings as meaning that a
ciphersuite is enabled.  (Although we do in fact want to treat
the only string used in _current_ firefox git main that way.)

This change has no effect on the generated ciphers.inc.

Closes #41117.

ci

version: Bump version to 0.4.9.3-alpha-dev

Merge branch 'maint-0.4.8'

version: Bump version to 0.4.8.18-dev

clean up MaxHSDirCacheBytes docs

slop? in my tor(1)? more likely than you think

I don't think any other entries use "Default" lke this, and the repetition
seems pointless.  The historical context was broken off to keep the "main" part
short and tidy.

version: Bump version to 0.4.9.3-alpha

changelog: Use the right alpha version

Signed-off-by: David Goulet <dgoulet@torproject.org>

version: Bump version to 0.4.9.2-alpha

Merge branch 'maint-0.4.8'

version: Bump version to 0.4.8.18

release: ChangeLog and ReleaseNotes for 0.4.9.2-alpha

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.8'

fallbackdir: Update list generated on September 16, 2025

Update geoip files to match ipfire location db, 2025/09/16.

Merge branch 'maint-0.4.8'

Fix test_parseconf on MaxHSDirCacheBytes default

Change the logic to evaluate the default when fetching the value, matching
other default options like ExtORPortCookieAuthFile.

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/927'

Merge branch 'tor-gitlab/mr/927' into maint-0.4.8

Merge branch 'cleanup' into 'main'

add a log_backtrace_once macro

See merge request tpo/core/tor!924

Merge branch 'practracker-python-3-14' into 'main'

practracker: codecs.open -> io.open for python 3.14

See merge request tpo/core/tor!930

Merge branch 'hsdir-max-bytes-config' into 'main'

Fix test_parseconf on MaxHSDirCacheBytes default

See merge request tpo/core/tor!929

Fix test_parseconf on MaxHSDirCacheBytes default

Change the logic to evaluate the default when fetching the value, matching
other default options like ExtORPortCookieAuthFile.

practracker: codecs.open -> io.open for python 3.14

codecs.open is now deprecated: https://docs.python.org/3.14/whatsnew/3.14.html.
it prints a DeprecationWarning which makes tests fail, and may be removed in
the future. io.open works on python 2 and 3

relay: Zeroed a stack allocated relay msg struct

Following 63332eb3e711786f (MR 926), just more defense in depth for our future
selves.

Related to #41123

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'tor-gitlab/mr/926'

circ: Free conflux pending nonce if nonce is untracked

This can happen if we loose track of the nonce and a circuit with it is
repurposed.

Without this, it would lead to a non fatal assert on a control port circuit
event of puporse change.

Related to #41037

Signed-off-by: David Goulet <dgoulet@torproject.org>

Set is_relay_early to false when encoding relay msgs.

Spotted by Alex Xu.

Fixes #41123; bug not in any released Tor.

credit shadowcoder for #41104 fix

add a log_backtrace_once macro

This is a common pattern when calling log_backtrace, and we already have
similar macros like tor_assert_nonfatal_once.

Merge branch 'maint-0.4.8'

config: Fix wide comment

Signed-off-by: David Goulet <dgoulet@torproject.org>

Merge branch 'maint-0.4.8'

Merge remote-tracking branch 'mikeperry-private/ticket41006_copilot_piecewise' into maint-0.4.8

Merge branch 'maint-0.4.8'

Merge branch 'tor-gitlab/mr/917' into maint-0.4.8

Merge branch 'maint-0.4.8'

Merge branch 'cleanup' into 'main'

remove dead code from circuit_n_chan_done

See merge request tpo/core/tor!923

remove dead code from circuit_n_chan_done

close_origin_circuits was added in ccabbe702a072cfc4b2ec194d8211d06ce991904,
and the last usage was removed in 5a174ebfac759081c1c6c2adf614c43cc75325c3,
8 years ago.

Make thread control POSIX compliant

Closes issue #41109

Preparation of `tor_sleep_msec()`

- Update `tor_sleep_msec()` with `nanosleep()` function
- Make `tor_sleep_msec()` available outside of unit tests

Merge branch 'bridgeline' into 'main'

bridge: output complete bridge lines to logs & disk

See merge request tpo/core/tor!782

Merge branch 'maint-0.4.8'