]> git.rkrishnan.org Git - tahoe-lafs/tahoe-lafs.git/blob - NEWS
update NEWS with all significant user-visible changes since last release
[tahoe-lafs/tahoe-lafs.git] / NEWS
1 User visible changes in Tahoe-LAFS.  -*- outline; coding: utf-8 -*-
2
3 * Release 1.8.2 (?)
4
5 ** Compatibility and Dependencies
6
7  - Tahoe is now compatible with Twisted-10.2 (released last month). The
8    previous Tahoe-1.8.1 release failed to run against Twisted-10.2,
9    raising an AttributeError on StreamServerEndpointService (#1286)
10  - Tahoe now depends upon the "mock" testing library, and the foolscap
11    dependency was raised to 0.6.1 . It no longer requires pywin32 (which
12    was used only on windows). Future developers should note that
13    reactor.spawnProcess and derivatives may no longer be used inside
14    Tahoe code.
15
16 ** Other Changes
17
18  - the default reserved_space value for new storage nodes is 1 GB (#1208)
19  - documentation is now in reStructuredText (.rst) format
20  - "tahoe cp" should now handle non-ASCII filenames
21  - the unmaintained Mac/Windows GUI applications have been removed (#1282)
22  - tahoe processes should appear in top and ps as "tahoe", not "python",
23    on some unix platforms. (#174)
24  - "tahoe debug trial" can be used to run the test suite (#1296)
25
26
27 * Release 1.8.1 (2010-10-28)
28
29 ** Bugfixes and Improvements
30
31  - Allow the repairer to improve the health of a file by uploading
32    some shares, even if it cannot achieve the configured happiness
33    threshold. This fixes a regression introduced between v1.7.1 and
34    v1.8.0. (#1212)
35  - Fix a memory leak in the ResponseCache which is used during mutable
36    file/directory operations. (#1045)
37  - Fix a regression and add a performance improvement in the downloader.
38    This issue caused repair to fail in some special cases. (#1223)
39  - Fix a bug that caused 'tahoe cp' to fail for a grid-to-grid copy
40    involving a non-ASCII filename. (#1224)
41  - Fix a rarely-encountered bug involving printing large strings to
42    the console on Windows. (#1232)
43  - Perform ~ expansion in the --exclude-from filename argument to
44    'tahoe backup'. (#1241)
45  - The CLI's 'tahoe mv' and 'tahoe ln' commands previously would try
46    to use an HTTP proxy if the HTTP_PROXY environment variable was set.
47    These now always connect directly to the WAPI, thus avoiding giving
48    caps to the HTTP proxy (and also avoiding failures in the case that
49    the proxy is failing or requires authentication). (#1253)
50  - The CLI now correctly reports failure in the case that 'tahoe mv'
51    fails to unlink the file from its old location. (#1255)
52  - 'tahoe start' now gives a more positive indication that the node
53    has started. (#71)
54  - The arguments seen by 'ps' or other tools for node processes are
55    now more useful (in particular, they include the path of the
56    'tahoe' script, rather than an obscure tool named 'twistd'). (#174)
57
58 ** Removed Features
59
60  - The tahoe start/stop/restart and node creation commands no longer
61    accept the -m or --multiple option, for consistency between platforms.
62    (#1262)
63
64 ** Packaging
65
66  - We now host binary packages so that users on certain operating systems
67    can install without having a compiler.
68    <http://tahoe-lafs.org/source/tahoe-lafs/deps/tahoe-lafs-dep-eggs/README.html>
69  - Use a newer version of a dependency if needed, even if an older
70    version is installed. This would previously cause a VersionConflict
71    error. (#1190)
72  - Use a precompiled binary of a dependency if one with a sufficiently
73    high version number is available, instead of attempting to compile
74    the dependency from source, even if the source version has a higher
75    version number. (#1233)
76
77 ** Documentation
78
79  - All current documentation in .txt format has been converted to
80    .rst format. (#1225)
81  - Added docs/backdoors.rst declaring that we won't add backdoors to
82    Tahoe-LAFS, or add anything to facilitate government access to data.
83    (#1216)
84
85
86 * Release 1.8.0 (2010-09-23)
87
88 ** New Features
89
90  - A completely new downloader which improves performance and
91    robustness of immutable-file downloads. It uses the fastest K
92    servers to download the data in K-way parallel. It automatically
93    fails over to alternate servers if servers fail in mid-download. It
94    allows seeking to arbitrary locations in the file (the previous
95    downloader which would only read the entire file sequentially from
96    beginning to end). It minimizes unnecessary round trips and
97    unnecessary bytes transferred to improve performance. It sends
98    requests to fewer servers to reduce the load on servers (the
99    previous one would send a small request to every server for every
100    download) (#287, #288, #448, #798, #800, #990, #1170, #1191)
101
102  - Non-ASCII command-line arguments and non-ASCII outputs now work on
103    Windows. In addition, the command-line tool now works on 64-bit
104    Windows. (#1074)
105
106 ** Bugfixes and Improvements
107
108  - Document and clean up the command-line options for specifying the
109    node's base directory. (#188, #706, #715, #772, #1108)
110  - The default node directory for Windows is ".tahoe" in the user's
111    home directory, the same as on other platforms. (#890)
112  - Fix a case in which full cap URIs could be logged. (#685, #1155)
113  - Fix bug in WUI in Python 2.5 when the system clock is set back to
114    1969. Now you can use Tahoe-LAFS with Python 2.5 and set your
115    system clock to 1969 and still use the WUI. (#1055)
116  - Many improvements in code organization, tests, logging,
117    documentation, and packaging. (#983, #1074, #1108, #1127, #1129,
118    #1131, #1166, #1175)
119
120 ** Dependency Updates
121
122  - on x86 and x86-64 platforms, pycryptopp >= 0.5.20
123  - pycrypto 2.2 is excluded due to a bug
124
125
126 * Release 1.7.1 (2010-07-18)
127
128 ** Bugfixes and Improvements
129
130  - Fix bug in which uploader could fail with AssertionFailure or
131    report that it had achieved servers-of-happiness when it
132    hadn't. (#1118)
133  - Fix bug in which servers could get into a state where they would
134    refuse to accept shares of a certain file (#1117)
135  - Add init scripts for managing the gateway server on Debian/Ubuntu
136    (#961)
137  - Fix bug where server version number was always 0 on the welcome
138    page (#1067)
139  - Add new command-line command "tahoe unlink" as a synonym for "tahoe
140    rm" (#776)
141  - The FTP frontend now encrypts its temporary files, protecting their
142    contents from an attacker who is able to read the disk. (#1083)
143  - Fix IP address detection on FreeBSD 7, 8, and 9 (#1098)
144  - Fix minor layout issue in the Web User Interface with Internet
145    Explorer (#1097)
146  - Fix rarely-encountered incompatibility between Twisted logging
147    utility and the new unicode support added in v1.7.0 (#1099)
148  - Forward-compatibility improvements for non-ASCII caps (#1051)
149
150 ** Code improvements
151
152  - Simplify and tidy-up directories, unicode support, test code (#923, #967,
153    #1072)
154
155
156 * Release 1.7.0 (2010-06-18)
157
158 ** New Features
159
160 *** SFTP support
161
162 Your Tahoe-LAFS gateway now acts like a full-fledged SFTP server.  It has been
163 tested with sshfs to provide a virtual filesystem in Linux.  Many users have
164 asked for this feature.  We hope that it serves them well! See the
165 docs/frontends/FTP-and-SFTP.txt document to get started.
166
167 *** support for non-ASCII character encodings
168
169 Tahoe-LAFS now correctly handles filenames containing non-ASCII characters on
170 all supported platforms:
171
172  - when reading files in from the local filesystem (such as when you run "tahoe
173    backup" to back up your local files to a Tahoe-LAFS grid);
174
175  - when writing files out to the local filesystem (such as when you run "tahoe
176    cp -r" to recursively copy files out of a Tahoe-LAFS grid);
177
178  - when displaying filenames to the terminal (such as when you run "tahoe ls"),
179    subject to limitations of the terminal and locale;
180
181  - when parsing command-line arguments, except on Windows.
182
183 *** Servers of Happiness
184
185 Tahoe-LAFS now measures during immutable file upload to see how well
186 distributed it is across multiple servers. It aborts the upload if the pieces
187 of the file are not sufficiently well-distributed.
188
189 This behavior is controlled by a configuration parameter called "servers of
190 happiness". With the default settings for its erasure coding, Tahoe-LAFS
191 generates 10 shares for each file, such that any 3 of those shares are
192 sufficient to recover the file. The default value of "servers of happiness" is
193 7, which means that Tahoe-LAFS will guarantee that there are at least 7 servers
194 holding some of the shares, such that any 3 of those servers can completely
195 recover your file.
196
197 The new upload code also distributes the shares better than the previous
198 version in some cases and takes better advantage of pre-existing shares (when a
199 file has already been previously uploaded). See the architecture.txt document
200 [3] for details.
201
202 ** Bugfixes and Improvements
203
204  - Premature abort of upload if some shares were already present and some
205    servers fail. (#608)
206  - python ./setup.py install -- can't create or remove files in install
207    directory. (#803)
208  - Network failure => internal TypeError. (#902)
209  - Install of Tahoe on CentOS 5.4. (#933)
210  - CLI option --node-url now supports https url. (#1028)
211  - HTML/CSS template files were not correctly installed under Windows. (#1033)
212  - MetadataSetter does not enforce restriction on setting "tahoe" subkeys.
213    (#1034)
214  - ImportError: No module named setuptools_darcs.setuptools_darcs. (#1054)
215  - Renamed Title in xhtml files. (#1062)
216  - Increase Python version dependency to 2.4.4, to avoid a critical CPython
217    security bug. (#1066)
218  - Typo correction for the munin plugin tahoe_storagespace. (#968)
219  - Fix warnings found by pylint. (#973)
220  - Changing format of some documentation files. (#1027)
221  - the misc/ directory was tied up. (#1068)
222  - The 'ctime' and 'mtime' metadata fields are no longer written except by
223    "tahoe backup". (#924)
224  - Unicode filenames in Tahoe-LAFS directories are normalized so that names
225    that differ only in how accents are encoded are treated as the same. (#1076)
226  - Various small improvements to documentation. (#937, #911, #1024, #1082)
227
228 ** Removals
229
230 The 'tahoe debug consolidate' subcommand (for converting old allmydata Windows
231 client backups to a newer format) has been removed.
232
233 ** Dependency Updates
234
235 the Python version dependency is raised to 2.4.4 in some cases (2.4.3 for
236   Redhat-based Linux distributions, 2.4.2 for UCS-2 builds) (#1066)
237 pycrypto >= 2.0.1
238 pyasn1 >= 0.0.8a
239 mock (only required by unit tests)
240
241
242 * Release 1.6.1 (2010-02-27)
243
244 ** Bugfixes
245
246 *** Correct handling of Small Immutable Directories
247
248 Immutable directories can now be deep-checked and listed in the web UI in
249 all cases. (In v1.6.0, some operations, such as deep-check, on a directory
250 graph that included very small immutable directories, would result in an
251 exception causing the whole operation to abort.) (#948)
252
253 ** Usability Improvements
254
255 Improved user interface messages and error reporting. (#681, #837, #939)
256
257 The timeouts for operation handles have been greatly increased, so that
258 you can view the results of an operation up to 4 days after it has
259 completed. After viewing them for the first time, the results are
260 retained for a further day. (#577)
261
262
263 * Release 1.6.0 (2010-02-01)
264
265 ** New Features
266
267 *** Immutable Directories
268
269 Tahoe-LAFS can now create and handle immutable directories. (#607, #833, #931)
270 These are read just like normal directories, but are "deep-immutable", meaning
271 that all their children (and everything reachable from those children) must be
272 immutable objects (i.e. immutable or literal files, and other immutable
273 directories).
274
275 These directories must be created in a single webapi call that provides all
276 of the children at once. (Since they cannot be changed after creation, the
277 usual create/add/add sequence cannot be used.) They have URIs that start with
278 "URI:DIR2-CHK:" or "URI:DIR2-LIT:", and are described on the human-facing web
279 interface (aka the "WUI") with a "DIR-IMM" abbreviation (as opposed to "DIR"
280 for the usual read-write directories and "DIR-RO" for read-only directories).
281
282 Tahoe-LAFS releases before 1.6.0 cannot read the contents of an immutable
283 directory. 1.5.0 will tolerate their presence in a directory listing (and
284 display it as "unknown"). 1.4.1 and earlier cannot tolerate them: a DIR-IMM
285 child in any directory will prevent the listing of that directory.
286
287 Immutable directories are repairable, just like normal immutable files.
288
289 The webapi "POST t=mkdir-immutable" call is used to create immutable
290 directories. See docs/frontends/webapi.txt for details.
291
292 *** "tahoe backup" now creates immutable directories, backupdb has dircache
293
294 The "tahoe backup" command has been enhanced to create immutable directories
295 (in previous releases, it created read-only mutable directories) (#828). This
296 is significantly faster, since it does not need to create an RSA keypair for
297 each new directory. Also "DIR-IMM" immutable directories are repairable, unlike
298 "DIR-RO" read-only mutable directories at present. (A future Tahoe-LAFS release
299 should also be able to repair DIR-RO.)
300
301 In addition, the backupdb (used by "tahoe backup" to remember what it has
302 already copied) has been enhanced to store information about existing immutable
303 directories. This allows it to re-use directories that have moved but still
304 contain identical contents, or that have been deleted and later replaced. (The
305 1.5.0 "tahoe backup" command could only re-use directories that were in the
306 same place as they were in the immediately previous backup.)  With this change,
307 the backup process no longer needs to read the previous snapshot out of the
308 Tahoe-LAFS grid, reducing the network load considerably. (#606)
309
310 A "null backup" (in which nothing has changed since the previous backup) will
311 require only two Tahoe-side operations: one to add an Archives/$TIMESTAMP
312 entry, and a second to update the Latest/ link. On the local disk side, it
313 will readdir() all your local directories and stat() all your local files.
314
315 If you've been using "tahoe backup" for a while, you will notice that your
316 first use of it after upgrading to 1.6.0 may take a long time: it must create
317 proper immutable versions of all the old read-only mutable directories. This
318 process won't take as long as the initial backup (where all the file contents
319 had to be uploaded too): it will require time proportional to the number and
320 size of your directories. After this initial pass, all subsequent passes
321 should take a tiny fraction of the time.
322
323 As noted above, Tahoe-LAFS versions earlier than 1.5.0 cannot list a directory
324 containing an immutable subdirectory. Tahoe-LAFS versions earlier than 1.6.0
325 cannot read the contents of an immutable directory.
326
327 The "tahoe backup" command has been improved to skip over unreadable objects
328 (like device files, named pipes, and files with permissions that prevent the
329 command from reading their contents), instead of throwing an exception and
330 terminating the backup process. It also skips over symlinks, because these
331 cannot be represented faithfully in the Tahoe-side filesystem. A warning
332 message will be emitted each time something is skipped. (#729, #850, #641)
333
334 *** "create-node" command added, "create-client" now implies --no-storage
335
336 The basic idea behind Tahoe-LAFS's client+server and client-only processes is
337 that you are creating a general-purpose Tahoe-LAFS "node" process, which has
338 several components that can be activated. Storage service is one of these
339 optional components, as is the Helper, FTP server, and SFTP server. Web gateway
340 functionality is nominally on this list, but it is always active; a future
341 release will make it optional. There are three special purpose servers that
342 can't currently be run as a component in a node: introducer, key-generator,
343 and stats-gatherer.
344
345 So now "tahoe create-node" will create a Tahoe-LAFS node process, and after
346 creation you can edit its tahoe.cfg to enable or disable the desired
347 services. It is a more general-purpose replacement for "tahoe create-client".
348 The default configuration has storage service enabled. For convenience, the
349 "--no-storage" argument makes a tahoe.cfg file that disables storage
350 service. (#760)
351
352 "tahoe create-client" has been changed to create a Tahoe-LAFS node without a
353 storage service. It is equivalent to "tahoe create-node --no-storage". This
354 helps to reduce the confusion surrounding the use of a command with "client" in
355 its name to create a storage *server*. Use "tahoe create-client" to create a
356 purely client-side node. If you want to offer storage to the grid, use
357 "tahoe create-node" instead.
358
359 In the future, other services will be added to the node, and they will be
360 controlled through options in tahoe.cfg . The most important of these
361 services may get additional --enable-XYZ or --disable-XYZ arguments to
362 "tahoe create-node".
363
364 ** Performance Improvements
365
366 Download of immutable files begins as soon as the downloader has located the K
367 necessary shares (#928, #287). In both the previous and current releases, a
368 downloader will first issue queries to all storage servers on the grid to
369 locate shares before it begins downloading the shares. In previous releases of
370 Tahoe-LAFS, download would not begin until all storage servers on the grid had
371 replied to the query, at which point K shares would be chosen for download from
372 among the shares that were located. In this release, download begins as soon as
373 any K shares are located. This means that downloads start sooner, which is
374 particularly important if there is a server on the grid that is extremely slow
375 or even hung in such a way that it will never respond. In previous releases
376 such a server would have a negative impact on all downloads from that grid. In
377 this release, such a server will have no impact on downloads, as long as K
378 shares can be found on other, quicker, servers.  This also means that
379 downloads now use the "best-alacrity" servers that they talk to, as measured by
380 how quickly the servers reply to the initial query. This might cause downloads
381 to go faster, especially on grids with heterogeneous servers or geographical
382 dispersion.
383
384 ** Minor Changes
385
386 The webapi acquired a new "t=mkdir-with-children" command, to create and
387 populate a directory in a single call. This is significantly faster than
388 using separate "t=mkdir" and "t=set-children" operations (it uses one
389 gateway-to-grid roundtrip, instead of three or four). (#533)
390
391 The t=set-children (note the hyphen) operation is now documented in
392 docs/frontends/webapi.txt, and is the new preferred spelling of the old
393 t=set_children (with an underscore). The underscore version remains for
394 backwards compatibility. (#381, #927)
395
396 The tracebacks produced by errors in CLI tools should now be in plain text,
397 instead of HTML (which is unreadable outside of a browser). (#646)
398
399 The [storage]reserved_space configuration knob (which causes the storage
400 server to refuse shares when available disk space drops below a threshold)
401 should work on Windows now, not just UNIX. (#637)
402
403 "tahoe cp" should now exit with status "1" if it cannot figure out a suitable
404 target filename, such as when you copy from a bare filecap. (#761)
405
406 "tahoe get" no longer creates a zero-length file upon error. (#121)
407
408 "tahoe ls" can now list single files. (#457)
409
410 "tahoe deep-check --repair" should tolerate repair failures now, instead of
411 halting traversal. (#874, #786)
412
413 "tahoe create-alias" no longer corrupts the aliases file if it had
414 previously been edited to have no trailing newline. (#741)
415
416 Many small packaging improvements were made to facilitate the "tahoe-lafs"
417 package being included in Ubuntu. Several mac/win32 binary libraries were
418 removed, some figleaf code-coverage files were removed, a bundled copy of
419 darcsver-1.2.1 was removed, and additional licensing text was added.
420
421 Several DeprecationWarnings for python2.6 were silenced. (#859)
422
423 The checker --add-lease option would sometimes fail for shares stored
424 on old (Tahoe v1.2.0) servers. (#875)
425
426 The documentation for installing on Windows (docs/install.html) has been
427 improved. (#773)
428
429 For other changes not mentioned here, see
430 <http://allmydata.org/trac/tahoe/query?milestone=1.6.0&keywords=!~news-done>.
431 To include the tickets mentioned above, go to
432 <http://allmydata.org/trac/tahoe/query?milestone=1.6.0>.
433
434
435 * Release 1.5.0 (2009-08-01)
436
437 ** Improvements
438
439 Uploads of immutable files now use pipelined writes, improving upload speed
440 slightly (10%) over high-latency connections. (#392)
441
442 Processing large directories has been sped up, by removing a O(N^2) algorithm
443 from the dirnode decoding path and retaining unmodified encrypted entries.
444 (#750, #752)
445
446 The human-facing web interface (aka the "WUI") received a significant CSS
447 makeover by Kevin Reid, making it much prettier and easier to read. The WUI
448 "check" and "deep-check" forms now include a "Renew Lease" checkbox,
449 mirroring the CLI --add-lease option, so leases can be added or renewed from
450 the web interface.
451
452 The CLI "tahoe mv" command now refuses to overwrite directories. (#705)
453
454 The CLI "tahoe webopen" command, when run without arguments, will now bring
455 up the "Welcome Page" (node status and mkdir/upload forms).
456
457 The 3.5MB limit on mutable files was removed, so it should be possible to
458 upload arbitrarily-sized mutable files. Note, however, that the data format
459 and algorithm remains the same, so using mutable files still requires
460 bandwidth, computation, and RAM in proportion to the size of the mutable file.
461 (#694)
462
463 This version of Tahoe-LAFS will tolerate directory entries that contain filecap
464 formats which it does not recognize: files and directories from the future.
465 This should improve the user experience (for 1.5.0 users) when we add new cap
466 formats in the future. Previous versions would fail badly, preventing the user
467 from seeing or editing anything else in those directories. These unrecognized
468 objects can be renamed and deleted, but obviously not read or written. Also
469 they cannot generally be copied. (#683)
470
471 ** Bugfixes
472
473 deep-check-and-repair now tolerates read-only directories, such as the ones
474 produced by the "tahoe backup" CLI command. Read-only directories and mutable
475 files are checked, but not repaired. Previous versions threw an exception
476 when attempting the repair and failed to process the remaining contents. We
477 cannot yet repair these read-only objects, but at least this version allows
478 the rest of the check+repair to proceed. (#625)
479
480 A bug in 1.4.1 which caused a server to be listed multiple times (and
481 frequently broke all connections to that server) was fixed. (#653)
482
483 The plaintext-hashing code was removed from the Helper interface, removing
484 the Helper's ability to mount a partial-information-guessing attack. (#722)
485
486 ** Platform/packaging changes
487
488 Tahoe-LAFS now runs on NetBSD, OpenBSD, ArchLinux, and NixOS, and on an
489 embedded system based on an ARM CPU running at 266 MHz.
490
491 Unit test timeouts have been raised to allow the tests to complete on
492 extremely slow platforms like embedded ARM-based NAS boxes, which may take
493 several hours to run the test suite. An ARM-specific data-corrupting bug in
494 an older version of Crypto++ (5.5.2) was identified: ARM-users are encouraged
495 to use recent Crypto++/pycryptopp which avoids this problem.
496
497 Tahoe-LAFS now requires a SQLite library, either the sqlite3 that comes
498 built-in with python2.5/2.6, or the add-on pysqlite2 if you're using
499 python2.4. In the previous release, this was only needed for the "tahoe backup"
500 command: now it is mandatory.
501
502 Several minor documentation updates were made.
503
504 To help get Tahoe-LAFS into Linux distributions like Fedora and Debian,
505 packaging improvements are being made in both Tahoe-LAFS and related libraries
506 like pycryptopp and zfec.
507
508 The Crypto++ library included in the pycryptopp package has been upgraded to
509 version 5.6.0 of Crypto++, which includes a more efficient implementation of
510 SHA-256 in assembly for x86 or amd64 architectures.
511
512 ** dependency updates
513
514  foolscap-0.4.1
515  no python-2.4.0 or 2.4.1 (2.4.2 is good)
516   (they contained a bug in base64.b32decode)
517  avoid python-2.6 on windows with mingw: compiler issues
518  python2.4 requires pysqlite2 (2.5,2.6 does not)
519  no python-3.x
520  pycryptopp-0.5.15
521
522
523 * Release 1.4.1 (2009-04-13)
524
525 ** Garbage Collection
526
527 The big feature for this release is the implementation of garbage collection,
528 allowing Tahoe storage servers to delete shares for old deleted files. When
529 enabled, this uses a "mark and sweep" process: clients are responsible for
530 updating the leases on their shares (generally by running "tahoe deep-check
531 --add-lease"), and servers are allowed to delete any share which does not
532 have an up-to-date lease. The process is described in detail in
533 docs/garbage-collection.txt .
534
535 The server must be configured to enable garbage-collection, by adding
536 directives to the [storage] section that define an age limit for shares. The
537 default configuration will not delete any shares.
538
539 Both servers and clients should be upgraded to this release to make the
540 garbage-collection as pleasant as possible. 1.2.0 servers have code to
541 perform the update-lease operation but it suffers from a fatal bug, while
542 1.3.0 servers have update-lease but will return an exception for unknown
543 storage indices, causing clients to emit an Incident for each exception,
544 slowing the add-lease process down to a crawl. 1.1.0 servers did not have the
545 add-lease operation at all.
546
547 ** Security/Usability Problems Fixed
548
549 A super-linear algorithm in the Merkle Tree code was fixed, which previously
550 caused e.g. download of a 10GB file to take several hours before the first
551 byte of plaintext could be produced. The new "alacrity" is about 2 minutes. A
552 future release should reduce this to a few seconds by fixing ticket #442.
553
554 The previous version permitted a small timing attack (due to our use of
555 strcmp) against the write-enabler and lease-renewal/cancel secrets. An
556 attacker who could measure response-time variations of approximatly 3ns
557 against a very noisy background time of about 15ms might be able to guess
558 these secrets. We do not believe this attack was actually feasible. This
559 release closes the attack by first hashing the two strings to be compared
560 with a random secret.
561
562 ** webapi changes
563
564 In most cases, HTML tracebacks will only be sent if an "Accept: text/html"
565 header was provided with the HTTP request. This will generally cause browsers
566 to get an HTMLized traceback but send regular text/plain tracebacks to
567 non-browsers (like the CLI clients). More errors have been mapped to useful
568 HTTP error codes.
569
570 The streaming webapi operations (deep-check and manifest) now have a way to
571 indicate errors (an output line that starts with "ERROR" instead of being
572 legal JSON). See docs/frontends/webapi.txt for details.
573
574 The storage server now has its own status page (at /storage), linked from the
575 Welcome page. This page shows progress and results of the two new
576 share-crawlers: one which merely counts shares (to give an estimate of how
577 many files/directories are being stored in the grid), the other examines
578 leases and reports how much space would be freed if GC were enabled. The page
579 also shows how much disk space is present, used, reserved, and available for
580 the Tahoe server, and whether the server is currently running in "read-write"
581 mode or "read-only" mode.
582
583 When a directory node cannot be read (perhaps because of insufficent shares),
584 a minimal webapi page is created so that the "more-info" links (including a
585 Check/Repair operation) will still be accessible.
586
587 A new "reliability" page was added, with the beginnings of work on a
588 statistical loss model. You can tell this page how many servers you are using
589 and their independent failure probabilities, and it will tell you the
590 likelihood that an arbitrary file will survive each repair period. The
591 "numpy" package must be installed to access this page. A partial paper,
592 written by Shawn Willden, has been added to docs/proposed/lossmodel.lyx .
593
594 ** CLI changes
595
596 "tahoe check" and "tahoe deep-check" now accept an "--add-lease" argument, to
597 update a lease on all shares. This is the "mark" side of garbage collection.
598
599 In many cases, CLI error messages have been improved: the ugly HTMLized
600 traceback has been replaced by a normal python traceback.
601
602 "tahoe deep-check" and "tahoe manifest" now have better error reporting.
603 "tahoe cp" is now non-verbose by default.
604
605 "tahoe backup" now accepts several "--exclude" arguments, to ignore certain
606 files (like editor temporary files and version-control metadata) during
607 backup.
608
609 On windows, the CLI now accepts local paths like "c:\dir\file.txt", which
610 previously was interpreted as a Tahoe path using a "c:" alias.
611
612 The "tahoe restart" command now uses "--force" by default (meaning it will
613 start a node even if it didn't look like there was one already running).
614
615 The "tahoe debug consolidate" command was added. This takes a series of
616 independent timestamped snapshot directories (such as those created by the
617 allmydata.com windows backup program, or a series of "tahoe cp -r" commands)
618 and creates new snapshots that used shared read-only directories whenever
619 possible (like the output of "tahoe backup"). In the most common case (when
620 the snapshots are fairly similar), the result will use significantly fewer
621 directories than the original, allowing "deep-check" and similar tools to run
622 much faster. In some cases, the speedup can be an order of magnitude or more.
623 This tool is still somewhat experimental, and only needs to be run on large
624 backups produced by something other than "tahoe backup", so it was placed
625 under the "debug" category.
626
627 "tahoe cp -r --caps-only tahoe:dir localdir" is a diagnostic tool which,
628 instead of copying the full contents of files into the local directory,
629 merely copies their filecaps. This can be used to verify the results of a
630 "consolidation" operation.
631
632 ** other fixes
633
634 The codebase no longer rauses RuntimeError as a kind of assert(). Specific
635 exception classes were created for each previous instance of RuntimeError.
636
637 Many unit tests were changed to use a non-network test harness, speeding them
638 up considerably.
639
640 Deep-traversal operations (manifest and deep-check) now walk individual
641 directories in alphabetical order. Occasional turn breaks are inserted to
642 prevent a stack overflow when traversing directories with hundreds of
643 entries.
644
645 The experimental SFTP server had its path-handling logic changed slightly, to
646 accomodate more SFTP clients, although there are still issues (#645).
647
648
649 * Release 1.3.0 (2009-02-13)
650
651 ** Checker/Verifier/Repairer
652
653 The primary focus of this release has been writing a checker / verifier /
654 repairer for files and directories.  "Checking" is the act of asking storage
655 servers whether they have a share for the given file or directory: if there
656 are not enough shares available, the file or directory will be
657 unrecoverable. "Verifying" is the act of downloading and cryptographically
658 asserting that the server's share is undamaged: it requires more work
659 (bandwidth and CPU) than checking, but can catch problems that simple
660 checking cannot. "Repair" is the act of replacing missing or damaged shares
661 with new ones.
662
663 This release includes a full checker, a partial verifier, and a partial
664 repairer. The repairer is able to handle missing shares: new shares are
665 generated and uploaded to make up for the missing ones. This is currently the
666 best application of the repairer: to replace shares that were lost because of
667 server departure or permanent drive failure.
668
669 The repairer in this release is somewhat able to handle corrupted shares. The
670 limitations are:
671
672  * Immutable verifier is incomplete: not all shares are used, and not all
673    fields of those shares are verified. Therefore the immutable verifier has
674    only a moderate chance of detecting corrupted shares.
675  * The mutable verifier is mostly complete: all shares are examined, and most
676    fields of the shares are validated.
677  * The storage server protocol offers no way for the repairer to replace or
678    delete immutable shares. If corruption is detected, the repairer will
679    upload replacement shares to other servers, but the corrupted shares will
680    be left in place.
681  * read-only directories and read-only mutable files must be repaired by
682    someone who holds the write-cap: the read-cap is insufficient. Moreover,
683    the deep-check-and-repair operation will halt with an error if it attempts
684    to repair one of these read-only objects.
685  * Some forms of corruption can cause both download and repair operations to
686    fail. A future release will fix this, since download should be tolerant of
687    any corruption as long as there are at least 'k' valid shares, and repair
688    should be able to fix any file that is downloadable.
689
690 If the downloader, verifier, or repairer detects share corruption, the
691 servers which provided the bad shares will be notified (via a file placed in
692 the BASEDIR/storage/corruption-advisories directory) so their operators can
693 manually delete the corrupted shares and investigate the problem. In
694 addition, the "incident gatherer" mechanism will automatically report share
695 corruption to an incident gatherer service, if one is configured. Note that
696 corrupted shares indicate hardware failures, serious software bugs, or malice
697 on the part of the storage server operator, so a corrupted share should be
698 considered highly unusual.
699
700 By periodically checking/repairing all files and directories, objects in the
701 Tahoe filesystem remain resistant to recoverability failures due to missing
702 and/or broken servers.
703
704 This release includes a wapi mechanism to initiate checks on individual
705 files and directories (with or without verification, and with or without
706 automatic repair). A related mechanism is used to initiate a "deep-check" on
707 a directory: recursively traversing the directory and its children, checking
708 (and/or verifying/repairing) everything underneath. Both mechanisms can be
709 run with an "output=JSON" argument, to obtain machine-readable check/repair
710 status results. These results include a copy of the filesystem statistics
711 from the "deep-stats" operation (including total number of files, size
712 histogram, etc). If repair is possible, a "Repair" button will appear on the
713 results page.
714
715 The client web interface now features some extra buttons to initiate check
716 and deep-check operations. When these operations finish, they display a
717 results page that summarizes any problems that were encountered. All
718 long-running deep-traversal operations, including deep-check, use a
719 start-and-poll mechanism, to avoid depending upon a single long-lived HTTP
720 connection. docs/frontends/webapi.txt has details.
721
722 ** Efficient Backup
723
724 The "tahoe backup" command is new in this release, which creates efficient
725 versioned backups of a local directory. Given a local pathname and a target
726 Tahoe directory, this will create a read-only snapshot of the local directory
727 in $target/Archives/$timestamp. It will also create $target/Latest, which is
728 a reference to the latest such snapshot. Each time you run "tahoe backup"
729 with the same source and target, a new $timestamp snapshot will be added.
730 These snapshots will share directories that have not changed since the last
731 backup, to speed up the process and minimize storage requirements. In
732 addition, a small database is used to keep track of which local files have
733 been uploaded already, to avoid uploading them a second time. This
734 drastically reduces the work needed to do a "null backup" (when nothing has
735 changed locally), making "tahoe backup' suitable to run from a daily cronjob.
736
737 Note that the "tahoe backup" CLI command must be used in conjunction with a
738 1.3.0-or-newer Tahoe client node; there was a bug in the 1.2.0 webapi
739 implementation that would prevent the last step (create $target/Latest) from
740 working.
741
742 ** Large Files
743
744 The 12GiB (approximate) immutable-file-size limitation is lifted. This
745 release knows how to handle so-called "v2 immutable shares", which permit
746 immutable files of up to about 18 EiB (about 3*10^14). These v2 shares are
747 created if the file to be uploaded is too large to fit into v1 shares. v1
748 shares are created if the file is small enough to fit into them, so that
749 files created with tahoe-1.3.0 can still be read by earlier versions if they
750 are not too large. Note that storage servers also had to be changed to
751 support larger files, and this release is the first release in which they are
752 able to do that. Clients will detect which servers are capable of supporting
753 large files on upload and will not attempt to upload shares of a large file
754 to a server which doesn't support it.
755
756 ** FTP/SFTP Server
757
758 Tahoe now includes experimental FTP and SFTP servers. When configured with a
759 suitable method to translate username+password into a root directory cap, it
760 provides simple access to the virtual filesystem. Remember that FTP is
761 completely unencrypted: passwords, filenames, and file contents are all sent
762 over the wire in cleartext, so FTP should only be used on a local (127.0.0.1)
763 connection. This feature is still in development: there are no unit tests
764 yet, and behavior with respect to Unicode filenames is uncertain. Please see
765 docs/frontends/FTP-and-SFTP.txt for configuration details. (#512, #531)
766
767 ** CLI Changes
768
769 This release adds the 'tahoe create-alias' command, which is a combination of
770 'tahoe mkdir' and 'tahoe add-alias'. This also allows you to start using a
771 new tahoe directory without exposing its URI in the argv list, which is
772 publicly visible (through the process table) on most unix systems.  Thanks to
773 Kevin Reid for bringing this issue to our attention.
774
775 The single-argument form of "tahoe put" was changed to create an unlinked
776 file. I.e. "tahoe put bar.txt" will take the contents of a local "bar.txt"
777 file, upload them to the grid, and print the resulting read-cap; the file
778 will not be attached to any directories. This seemed a bit more useful than
779 the previous behavior (copy stdin, upload to the grid, attach the resulting
780 file into your default tahoe: alias in a child named 'bar.txt').
781
782 "tahoe put" was also fixed to handle mutable files correctly: "tahoe put
783 bar.txt URI:SSK:..." will read the contents of the local bar.txt and use them
784 to replace the contents of the given mutable file.
785
786 The "tahoe webopen" command was modified to accept aliases. This means "tahoe
787 webopen tahoe:" will cause your web browser to open to a "wui" page that
788 gives access to the directory associated with the default "tahoe:" alias. It
789 should also accept leading slashes, like "tahoe webopen tahoe:/stuff".
790
791 Many esoteric debugging commands were moved down into a "debug" subcommand:
792
793  tahoe debug dump-cap
794  tahoe debug dump-share
795  tahoe debug find-shares
796  tahoe debug catalog-shares
797  tahoe debug corrupt-share
798
799 The last command ("tahoe debug corrupt-share") flips a random bit of the
800 given local sharefile. This is used to test the file verifying/repairing
801 code, and obviously should not be used on user data.
802
803 The cli might not correctly handle arguments which contain non-ascii
804 characters in Tahoe v1.3 (although depending on your platform it
805 might, especially if your platform can be configured to pass such
806 characters on the command-line in utf-8 encoding).  See
807 http://allmydata.org/trac/tahoe/ticket/565 for details.
808
809 ** Web changes
810
811 The "default webapi port", used when creating a new client node (and in the
812 getting-started documentation), was changed from 8123 to 3456, to reduce
813 confusion when Tahoe accessed through a Firefox browser on which the
814 "Torbutton" extension has been installed. Port 8123 is occasionally used as a
815 Tor control port, so Torbutton adds 8123 to Firefox's list of "banned ports"
816 to avoid CSRF attacks against Tor. Once 8123 is banned, it is difficult to
817 diagnose why you can no longer reach a Tahoe node, so the Tahoe default was
818 changed. Note that 3456 is reserved by IANA for the "vat" protocol, but there
819 are argueably more Torbutton+Tahoe users than vat users these days. Note that
820 this will only affect newly-created client nodes. Pre-existing client nodes,
821 created by earlier versions of tahoe, may still be listening on 8123.
822
823 All deep-traversal operations (start-manifest, start-deep-size,
824 start-deep-stats, start-deep-check) now use a start-and-poll approach,
825 instead of using a single (fragile) long-running synchronous HTTP connection.
826 All these "start-" operations use POST instead of GET. The old "GET
827 manifest", "GET deep-size", and "POST deep-check" operations have been
828 removed.
829
830 The new "POST start-manifest" operation, when it finally completes, results
831 in a table of (path,cap), instead of the list of verifycaps produced by the
832 old "GET manifest". The table is available in several formats: use
833 output=html, output=text, or output=json to choose one. The JSON output also
834 includes stats, and a list of verifycaps and storage-index strings.
835
836 The "return_to=" and "when_done=" arguments have been removed from the
837 t=check and deep-check operations.
838
839 The top-level status page (/status) now has a machine-readable form, via
840 "/status/?t=json". This includes information about the currently-active
841 uploads and downloads, which may be useful for frontends that wish to display
842 progress information. There is no easy way to correlate the activities
843 displayed here with recent wapi requests, however.
844
845 Any files in BASEDIR/public_html/ (configurable) will be served in response
846 to requests in the /static/ portion of the URL space. This will simplify the
847 deployment of javascript-based frontends that can still access wapi calls
848 by conforming to the (regrettable) "same-origin policy".
849
850 The welcome page now has a "Report Incident" button, which is tied into the
851 "Incident Gatherer" machinery. If the node is attached to an incident
852 gatherer (via log_gatherer.furl), then pushing this button will cause an
853 Incident to be signalled: this means recent log events are aggregated and
854 sent in a bundle to the gatherer. The user can push this button after
855 something strange takes place (and they can provide a short message to go
856 along with it), and the relevant data will be delivered to a centralized
857 incident-gatherer for later processing by operations staff.
858
859 The "HEAD" method should now work correctly, in addition to the usual "GET",
860 "PUT", and "POST" methods. "HEAD" is supposed to return exactly the same
861 headers as "GET" would, but without any of the actual response body data. For
862 mutable files, this now does a brief mapupdate (to figure out the size of the
863 file that would be returned), without actually retrieving the file's
864 contents.
865
866 The "GET" operation on files can now support the HTTP "Range:" header,
867 allowing requests for partial content. This allows certain media players to
868 correctly stream audio and movies out of a Tahoe grid. The current
869 implementation uses a disk-based cache in BASEDIR/private/cache/download ,
870 which holds the plaintext of the files being downloaded. Future
871 implementations might not use this cache. GET for immutable files now returns
872 an ETag header.
873
874 Each file and directory now has a "Show More Info" web page, which contains
875 much of the information that was crammed into the directory page before. This
876 includes readonly URIs, storage index strings, object type, buttons to
877 control checking/verifying/repairing, and deep-check/deep-stats buttons (for
878 directories). For mutable files, the "replace contents" upload form has been
879 moved here too. As a result, the directory page is now much simpler and
880 cleaner, and several potentially-misleading links (like t=uri) are now gone.
881
882 Slashes are discouraged in Tahoe file/directory names, since they cause
883 problems when accessing the filesystem through the wapi. However, there are
884 a couple of accidental ways to generate such names. This release tries to
885 make it easier to correct such mistakes by escaping slashes in several
886 places, allowing slashes in the t=info and t=delete commands, and in the
887 source (but not the target) of a t=rename command.
888
889 ** Packaging
890
891 Tahoe's dependencies have been extended to require the "[secure_connections]"
892 feature from Foolscap, which will cause pyOpenSSL to be required and/or
893 installed. If OpenSSL and its development headers are already installed on
894 your system, this can occur automatically. Tahoe now uses pollreactor
895 (instead of the default selectreactor) to work around a bug between pyOpenSSL
896 and the most recent release of Twisted (8.1.0). This bug only affects unit
897 tests (hang during shutdown), and should not impact regular use.
898
899 The Tahoe source code tarballs now come in two different forms: regular and
900 "sumo". The regular tarball contains just Tahoe, nothing else. When building
901 from the regular tarball, the build process will download any unmet
902 dependencies from the internet (starting with the index at PyPI) so it can
903 build and install them. The "sumo" tarball contains copies of all the
904 libraries that Tahoe requires (foolscap, twisted, zfec, etc), so using the
905 "sumo" tarball should not require any internet access during the build
906 process. This can be useful if you want to build Tahoe while on an airplane,
907 a desert island, or other bandwidth-limited environments.
908
909 Similarly, allmydata.org now hosts a "tahoe-deps" tarball which contains the
910 latest versions of all these dependencies. This tarball, located at
911 http://allmydata.org/source/tahoe/deps/tahoe-deps.tar.gz, can be unpacked in
912 the tahoe source tree (or in its parent directory), and the build process
913 should satisfy its downloading needs from it instead of reaching out to PyPI.
914 This can be useful if you want to build Tahoe from a darcs checkout while on
915 that airplane or desert island.
916
917 Because of the previous two changes ("sumo" tarballs and the "tahoe-deps"
918 bundle), most of the files have been removed from misc/dependencies/ . This
919 brings the regular Tahoe tarball down to 2MB (compressed), and the darcs
920 checkout (without history) to about 7.6MB. A full darcs checkout will still
921 be fairly large (because of the historical patches which included the
922 dependent libraries), but a 'lazy' one should now be small.
923
924 The default "make" target is now an alias for "setup.py build", which itself
925 is an alias for "setup.py develop --prefix support", with some extra work
926 before and after (see setup.cfg). Most of the complicated platform-dependent
927 code in the Makefile was rewritten in Python and moved into setup.py,
928 simplifying things considerably.
929
930 Likewise, the "make test" target now delegates most of its work to "setup.py
931 test", which takes care of getting PYTHONPATH configured to access the tahoe
932 code (and dependencies) that gets put in support/lib/ by the build_tahoe
933 step. This should allow unit tests to be run even when trial (which is part
934 of Twisted) wasn't already installed (in this case, trial gets installed to
935 support/bin because Twisted is a dependency of Tahoe).
936
937 Tahoe is now compatible with the recently-released Python 2.6 , although it
938 is recommended to use Tahoe on Python 2.5, on which it has received more
939 thorough testing and deployment.
940
941 Tahoe is now compatible with simplejson-2.0.x . The previous release assumed
942 that simplejson.loads always returned unicode strings, which is no longer the
943 case in 2.0.x .
944
945 ** Grid Management Tools
946
947 Several tools have been added or updated in the misc/ directory, mostly munin
948 plugins that can be used to monitor a storage grid.
949
950 The misc/spacetime/ directory contains a "disk watcher" daemon (startable
951 with 'tahoe start'), which can be configured with a set of HTTP URLs
952 (pointing at the wapi '/statistics' page of a bunch of storage servers),
953 and will periodically fetch disk-used/disk-available information from all the
954 servers. It keeps this information in an Axiom database (a sqlite-based
955 library available from divmod.org). The daemon computes time-averaged rates
956 of disk usage, as well as a prediction of how much time is left before the
957 grid is completely full.
958
959 The misc/munin/ directory contains a new set of munin plugins
960 (tahoe_diskleft, tahoe_diskusage, tahoe_doomsday) which talk to the
961 disk-watcher and provide graphs of its calculations.
962
963 To support the disk-watcher, the Tahoe statistics component (visible through
964 the wapi at the /statistics/ URL) now includes disk-used and disk-available
965 information. Both are derived through an equivalent of the unix 'df' command
966 (i.e. they ask the kernel for the number of free blocks on the partition that
967 encloses the BASEDIR/storage directory). In the future, the disk-available
968 number will be further influenced by the local storage policy: if that policy
969 says that the server should refuse new shares when less than 5GB is left on
970 the partition, then "disk-available" will report zero even though the kernel
971 sees 5GB remaining.
972
973 The 'tahoe_overhead' munin plugin interacts with an allmydata.com-specific
974 server which reports the total of the 'deep-size' reports for all active user
975 accounts, compares this with the disk-watcher data, to report on overhead
976 percentages. This provides information on how much space could be recovered
977 once Tahoe implements some form of garbage collection.
978
979 ** Configuration Changes: single INI-format tahoe.cfg file
980
981 The Tahoe node is now configured with a single INI-format file, named
982 "tahoe.cfg", in the node's base directory. Most of the previous
983 multiple-separate-files are still read for backwards compatibility (the
984 embedded SSH debug server and the advertised_ip_addresses files are the
985 exceptions), but new directives will only be added to tahoe.cfg . The "tahoe
986 create-client" command will create a tahoe.cfg for you, with sample values
987 commented out. (ticket #518)
988
989 tahoe.cfg now has controls for the foolscap "keepalive" and "disconnect"
990 timeouts (#521).
991
992 tahoe.cfg now has controls for the encoding parameters: "shares.needed" and
993 "shares.total" in the "[client]" section. The default parameters are still
994 3-of-10.
995
996 The inefficient storage 'sizelimit' control (which established an upper bound
997 on the amount of space that a storage server is allowed to consume) has been
998 replaced by a lightweight 'reserved_space' control (which establishes a lower
999 bound on the amount of remaining space). The storage server will reject all
1000 writes that would cause the remaining disk space (as measured by a '/bin/df'
1001 equivalent) to drop below this value. The "[storage]reserved_space="
1002 tahoe.cfg parameter controls this setting. (note that this only affects
1003 immutable shares: it is an outstanding bug that reserved_space does not
1004 prevent the allocation of new mutable shares, nor does it prevent the growth
1005 of existing mutable shares).
1006
1007 ** Other Changes
1008
1009 Clients now declare which versions of the protocols they support. This is
1010 part of a new backwards-compatibility system:
1011 http://allmydata.org/trac/tahoe/wiki/Versioning .
1012
1013 The version strings for human inspection (as displayed on the Welcome web
1014 page, and included in logs) now includes a platform identifer (frequently
1015 including a linux distribution name, processor architecture, etc).
1016
1017 Several bugs have been fixed, including one that would cause an exception (in
1018 the logs) if a wapi download operation was cancelled (by closing the TCP
1019 connection, or pushing the "stop" button in a web browser).
1020
1021 Tahoe now uses Foolscap "Incidents", writing an "incident report" file to
1022 logs/incidents/ each time something weird occurs. These reports are available
1023 to an "incident gatherer" through the flogtool command. For more details,
1024 please see the Foolscap logging documentation. An incident-classifying plugin
1025 function is provided in misc/incident-gatherer/classify_tahoe.py .
1026
1027 If clients detect corruption in shares, they now automatically report it to
1028 the server holding that share, if it is new enough to accept the report.
1029 These reports are written to files in BASEDIR/storage/corruption-advisories .
1030
1031 The 'nickname' setting is now defined to be a UTF-8 -encoded string, allowing
1032 non-ascii nicknames.
1033
1034 The 'tahoe start' command will now accept a --syslog argument and pass it
1035 through to twistd, making it easier to launch non-Tahoe nodes (like the
1036 cpu-watcher) and have them log to syslogd instead of a local file. This is
1037 useful when running a Tahoe node out of a USB flash drive.
1038
1039 The Mac GUI in src/allmydata/gui/ has been improved.
1040
1041
1042 * Release 1.2.0 (2008-07-21)
1043
1044 ** Security
1045
1046 This release makes the immutable-file "ciphertext hash tree" mandatory.
1047 Previous releases allowed the uploader to decide whether their file would
1048 have an integrity check on the ciphertext or not. A malicious uploader could
1049 use this to create a readcap that would download as one file or a different
1050 one, depending upon which shares the client fetched first, with no errors
1051 raised. There are other integrity checks on the shares themselves, preventing
1052 a storage server or other party from violating the integrity properties of
1053 the read-cap: this failure was only exploitable by the uploader who gives you
1054 a carefully constructed read-cap. If you download the file with Tahoe 1.2.0
1055 or later, you will not be vulnerable to this problem. #491
1056
1057 This change does not introduce a compatibility issue, because all existing
1058 versions of Tahoe will emit the ciphertext hash tree in their shares.
1059
1060 ** Dependencies
1061
1062 Tahoe now requires Foolscap-0.2.9 . It also requires pycryptopp 0.5 or newer,
1063 since earlier versions had a bug that interacted with specific compiler
1064 versions that could sometimes result in incorrect encryption behavior. Both
1065 packages are included in the Tahoe source tarball in misc/dependencies/ , and
1066 should be built automatically when necessary.
1067
1068 ** Web API
1069
1070 Web API directory pages should now contain properly-slash-terminated links to
1071 other directories. They have also stopped using absolute links in forms and
1072 pages (which interfered with the use of a front-end load-balancing proxy).
1073
1074 The behavior of the "Check This File" button changed, in conjunction with
1075 larger internal changes to file checking/verification. The button triggers an
1076 immediate check as before, but the outcome is shown on its own page, and does
1077 not get stored anywhere. As a result, the web directory page no longer shows
1078 historical checker results.
1079
1080 A new "Deep-Check" button has been added, which allows a user to initiate a
1081 recursive check of the given directory and all files and directories
1082 reachable from it. This can cause quite a bit of work, and has no
1083 intermediate progress information or feedback about the process. In addition,
1084 the results of the deep-check are extremely limited. A later release will
1085 improve this behavior.
1086
1087 The web server's behavior with respect to non-ASCII (unicode) filenames in
1088 the "GET save=true" operation has been improved. To achieve maximum
1089 compatibility with variously buggy web browsers, the server does not try to
1090 figure out the character set of the inbound filename. It just echoes the same
1091 bytes back to the browser in the Content-Disposition header. This seems to
1092 make both IE7 and Firefox work correctly.
1093
1094 ** Checker/Verifier/Repairer
1095
1096 Tahoe is slowly acquiring convenient tools to check up on file health,
1097 examine existing shares for errors, and repair files that are not fully
1098 healthy. This release adds a mutable checker/verifier/repairer, although
1099 testing is very limited, and there are no web interfaces to trigger repair
1100 yet. The "Check" button next to each file or directory on the wapi page
1101 will perform a file check, and the "deep check" button on each directory will
1102 recursively check all files and directories reachable from there (which may
1103 take a very long time).
1104
1105 Future releases will improve access to this functionality.
1106
1107 ** Operations/Packaging
1108
1109 A "check-grid" script has been added, along with a Makefile target. This is
1110 intended (with the help of a pre-configured node directory) to check upon the
1111 health of a Tahoe grid, uploading and downloading a few files. This can be
1112 used as a monitoring tool for a deployed grid, to be run periodically and to
1113 signal an error if it ever fails. It also helps with compatibility testing,
1114 to verify that the latest Tahoe code is still able to handle files created by
1115 an older version.
1116
1117 The munin plugins from misc/munin/ are now copied into any generated debian
1118 packages, and are made executable (and uncompressed) so they can be symlinked
1119 directly from /etc/munin/plugins/ .
1120
1121 Ubuntu "Hardy" was added as a supported debian platform, with a Makefile
1122 target to produce hardy .deb packages. Some notes have been added to
1123 docs/debian.txt about building Tahoe on a debian/ubuntu system.
1124
1125 Storage servers now measure operation rates and latency-per-operation, and
1126 provides results through the /statistics web page as well as the stats
1127 gatherer. Munin plugins have been added to match.
1128
1129 ** Other
1130
1131 Tahoe nodes now use Foolscap "incident logging" to record unusual events to
1132 their NODEDIR/logs/incidents/ directory. These incident files can be examined
1133 by Foolscap logging tools, or delivered to an external log-gatherer for
1134 further analysis. Note that Tahoe now requires Foolscap-0.2.9, since 0.2.8
1135 had a bug that complained about "OSError: File exists" when trying to create
1136 the incidents/ directory for a second time.
1137
1138 If no servers are available when retrieving a mutable file (like a
1139 directory), the node now reports an error instead of hanging forever. Earlier
1140 releases would not only hang (causing the wapi directory listing to get
1141 stuck half-way through), but the internal dirnode serialization would cause
1142 all subsequent attempts to retrieve or modify the same directory to hang as
1143 well. #463
1144
1145 A minor internal exception (reported in logs/twistd.log, in the
1146 "stopProducing" method) was fixed, which complained about "self._paused_at
1147 not defined" whenever a file download was stopped from the web browser end.
1148
1149
1150 * Release 1.1.0 (2008-06-11)
1151
1152 ** CLI: new "alias" model
1153
1154 The new CLI code uses an scp/rsync -like interface, in which directories in
1155 the Tahoe storage grid are referenced by a colon-suffixed alias. The new
1156 commands look like:
1157  tahoe cp local.txt tahoe:virtual.txt
1158  tahoe ls work:subdir
1159
1160 More functionality is available through the CLI: creating unlinked files and
1161 directories, recursive copy in or out of the storage grid, hardlinks, and
1162 retrieving the raw read- or write- caps through the 'ls' command. Please read
1163 docs/CLI.txt for complete details.
1164
1165 ** wapi: new pages, new commands
1166
1167 Several new pages were added to the web API:
1168
1169  /helper_status : to describe what a Helper is doing
1170  /statistics : reports node uptime, CPU usage, other stats
1171  /file : for easy file-download URLs, see #221
1172  /cap == /uri : future compatibility
1173
1174 The localdir=/localfile= and t=download operations were removed. These
1175 required special configuration to enable anyways, but this feature was a
1176 security problem, and was mostly obviated by the new "cp -r" command.
1177
1178 Several new options to the GET command were added:
1179
1180  t=deep-size : add up the size of all immutable files reachable from the directory
1181  t=deep-stats : return a JSON-encoded description of number of files, size
1182                 distribution, total size, etc
1183
1184 POST is now preferred over PUT for most operations which cause side-effects.
1185
1186 Most wapi calls now accept overwrite=, and default to overwrite=true .
1187
1188 "POST /uri/DIRCAP/parent/child?t=mkdir" is now the preferred API to create
1189 multiple directories at once, rather than ...?t=mkdir-p .
1190
1191 PUT to a mutable file ("PUT /uri/MUTABLEFILECAP", "PUT /uri/DIRCAP/child")
1192 will modify the file in-place.
1193
1194 ** more munin graphs in misc/munin/
1195
1196   tahoe-introstats
1197   tahoe-rootdir-space
1198   tahoe_estimate_files
1199   mutable files published/retrieved
1200   tahoe_cpu_watcher
1201   tahoe_spacetime
1202
1203 ** New Dependencies
1204
1205   zfec 1.1.0
1206   foolscap 0.2.8
1207   pycryptopp 0.5
1208   setuptools (now required at runtime)
1209
1210 ** New Mutable-File Code
1211
1212 The mutable-file handling code (mostly used for directories) has been
1213 completely rewritten. The new scheme has a better API (with a modify()
1214 method) and is less likely to lose data when several uncoordinated writers
1215 change a file at the same time.
1216
1217 In addition, a single Tahoe process will coordinate its own writes. If you
1218 make two concurrent directory-modifying wapi calls to a single tahoe node,
1219 it will internally make one of them wait for the other to complete. This
1220 prevents auto-collision (#391).
1221
1222 The new mutable-file code also detects errors during publish better. Earlier
1223 releases might believe that a mutable file was published when in fact it
1224 failed.
1225
1226 ** other features
1227
1228 The node now monitors its own CPU usage, as a percentage, measured every 60
1229 seconds. 1/5/15 minute moving averages are available on the /statistics web
1230 page and via the stats-gathering interface.
1231
1232 Clients now accelerate reconnection to all servers after being offline
1233 (#374). When a client is offline for a long time, it scales back reconnection
1234 attempts to approximately once per hour, so it may take a while to make the
1235 first attempt, but once any attempt succeeds, the other server connections
1236 will be retried immediately.
1237
1238 A new "offloaded KeyGenerator" facility can be configured, to move RSA key
1239 generation out from, say, a wapi node, into a separate process. RSA keys
1240 can take several seconds to create, and so a wapi node which is being used
1241 for directory creation will be unavailable for anything else during this
1242 time. The Key Generator process will pre-compute a small pool of keys, to
1243 speed things up further. This also takes better advantage of multi-core CPUs,
1244 or SMP hosts.
1245
1246 The node will only use a potentially-slow "du -s" command at startup (to
1247 measure how much space has been used) if the "sizelimit" parameter has been
1248 configured (to limit how much space is used). Large storage servers should
1249 turn off sizelimit until a later release improves the space-management code,
1250 since "du -s" on a terabyte filesystem can take hours.
1251
1252 The Introducer now allows new announcements to replace old ones, to avoid
1253 buildups of obsolete announcements.
1254
1255 Immutable files are limited to about 12GiB (when using the default 3-of-10
1256 encoding), because larger files would be corrupted by the four-byte
1257 share-size field on the storage servers (#439). A later release will remove
1258 this limit. Earlier releases would allow >12GiB uploads, but the resulting
1259 file would be unretrievable.
1260
1261 The docs/ directory has been rearranged, with old docs put in
1262 docs/historical/ and not-yet-implemented ones in docs/proposed/ .
1263
1264 The Mac OS-X FUSE plugin has a significant bug fix: earlier versions would
1265 corrupt writes that used seek() instead of writing the file in linear order.
1266 The rsync tool is known to perform writes in this order. This has been fixed.