<div>Yes - I heard <a href="http://jabber.org">jabber.org</a> administrators disabled IBR, but could you explain what was the reason for that (or just send link where can I find more details about the issue with IBR they were experiencing)?<br>
</div><div>I think that only high performance/stability issues could be occasion for CAPTCHA registration implementation.</div><div><br></div><div>--</div><div>Peter Viskup</div><br><div class="gmail_quote">On Thu, Nov 19, 2009 at 4:07 AM, Peter Saint-Andre <span dir="ltr">&lt;<a href="mailto:stpeter@stpeter.im">stpeter@stpeter.im</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On 11/18/09 4:29 PM, Peter Viskup wrote:<br>
&gt; What does your expression - &#39;uncontrolled registration&#39; - mean?<br>
&gt; What is the definition of &#39;controlled registration&#39;?<br>
&gt; How do you check if the jabber server has &#39;controlled registration&#39;?<br>
&gt;<br>
&gt; On our <a href="http://jabber.sk" target="_blank">jabber.sk</a> server everybody can register account with any length<br>
&gt; and any characters the server (piece of software) is supporting. Is that<br>
&gt; something what means &#39;uncontrolled registration&#39;?<br>
&gt; Is something wrong (not following not well known &#39;best practices&#39;) on<br>
&gt; that configuration of public server?<br>
<br>
</div>Good question. I&#39;ll answer based on my experience at the <a href="http://jabber.org" target="_blank">jabber.org</a><br>
service: I think that by &quot;uncontrolled registration&quot; he means in-band<br>
registration (&quot;IBR&quot;, XEP-0077) without CAPTCHA forms (XEP-0158). A<br>
service could also allow uncontrolled registration via the web but that<br>
might be more difficult to test. At the <a href="http://jabber.org" target="_blank">jabber.org</a> service we turned off<br>
IBR perhaps a year ago, in favor of web registration with CAPTCHAs. No,<br>
it&#39;s not perfect, but it seems to be less liable to attack (or at least<br>
automated registration by malicious bots).<br>
<font color="#888888"><br>
/psa<br>
</font></blockquote></div><br>