Oh, some functions have been added, like accept4(), so that O_CLOEXEC could be set atomically.<div><br></div><div>All we really need are new "address families" and new socket options.  Also, as with the IP_SEC_OPT socket option, I'd say that asking for PROTECT gets you that (or an error) and bypasses the horrible SPD.  At least to get started.  This means stronger coupling between the transport layers and IPsec too: even "connected" UDP sockets should get equivalent protection for all their packets, with the same peer, and even SOCK_RAW should get ancillary data suitable for application-level logical packet flow protection.</div><div><br></div><div>Nico</div><div>-- </div>