<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang=SV link=blue vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span lang=EN-US>Hello </span><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>Vaibhav<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>There are various extensions that can be used together with In-band registration to make it more secure.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>One way, it to secure it using CAPTCHA, as outlined in XEP-0158: <a href="http://xmpp.org/extensions/xep-0158.html">http://xmpp.org/extensions/xep-0158.html</a>. This method tries to seed out bots by assuring a human user creates the account.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>Another way, more suitable for controlled </span><span style='font-size:12.0pt;font-family:"Times New Roman",serif'>c</span><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>reation of accounts by </span><span style='font-size:12.0pt;font-family:"Times New Roman",serif'>m</span><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>achines</span><span style='font-size:12.0pt;font-family:"Times New Roman",serif'> (for instance, for IoT)</span><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>, is outlined in XEP-0348, and is based on signing IBR forms, using some other credentials that can be used to distinguish approved account creators from others.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>Best regards,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:12.0pt;font-family:"Times New Roman",serif'>Peter Waher<o:p></o:p></span></p><div style='mso-element:para-border-div;border:none;border-bottom:solid windowtext 1.0pt;padding:0cm 0cm 1.0pt 0cm'><p class=MsoNormal style='border:none;padding:0cm'><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><o:p> </o:p></span></p></div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><br>Message: 3<br>Date: Fri, 8 Jul 2016 17:28:25 +0530<br>From: vaibhav singh <vaibhavsinghacads@gmail.com><br><br>Hi All,<br><br>I realised the subject was not in the correct format for the email I sent<br>in the morning. Please ignore that email.<br><br>I am a newbie software developer who recently started looking into XMPP<br>XEP's. In Band registration was something that caught my eye, as the XEP<br>itself said that it is utterly insecure and recommended people not to use<br>it.<br><br>I had some questions I wanted to clarify:<br>1.) Is there anything else people can use in XMPP to bootstrap users<br>quickly, apart from in-band registration?<br><br>2.) If in-band registration is so insecure, and (from the looks of it) so<br>important (atleast a really good feature to have) why are there no<br>alternative work flows people can use?<br><br>3.) If there is no simple alternative to In Band Registration, I can<br>probable try to create an XEP for an alternative protocol, or maybe suggest<br>some changes to the existing work flow. Can someone describe to me<br>concisely how to go about suggesting changes to an existing XEP/ writing an<br>Internet Draft?<br><br>Regards,<br>Vaibhav Singh<br><br><br>-- <br><br>Regards,<br>Vaibhav Singh</span></p></div></body></html>