<div dir="ltr"><div>Hi all,</div><div><br></div><div>So @hanno ( <a href="https://twitter.com/hanno/">https://twitter.com/hanno/</a> ) did a presentation followed by a short discussion on Signal and how XMPP and other federated systems fail to provide a similar secure and usable system over federated architecture. The slides can be found at <a href="https://www.int21.de/slides/33c3-decentralized/#/">https://www.int21.de/slides/33c3-decentralized/#/</a> .</div><div><br></div><div>The talk was attended quite well so I think at least in the CCC community there seems to be still vibrant interest in having usable federated XMPP messaging with sensible and secure defaults. Would be even better if the large interest would come with similar large implementing developer base, but we have to work with what we currently have in the XMPP community.</div><div><br></div><div>Conclusions from the talk and possible actions to address them are:</div><div><br></div><div>* The XMPP manifesto from 2014 was a nice start and had very visible and noticeable effects, >95% of public XMPP services require TLS for C2S connections. However, the manifesto is outdated with regard to latest secure TLS versions and has some inconsistencies. Maybe we should update it or turn it into a XEP, maybe as part of server compliance suites.</div><div><br></div><div>* A lot clients are missing modern features and support for modern XEPs. We need to provide more incentive for client developers implementing these newer XEPs. Maybe we should sort the client list on <a href="http://xmpp.org">xmpp.org</a> based on support of the latest compliance suite XEP. Similar to Daniel's page for XMPP services at <a href="https://gultsch.de/compliance.html">https://gultsch.de/compliance.html</a> .</div><div><br></div><div>* The current compliance suite doesn't include any E2E security requirement. This one is easy to fix i think. We write up compliance suites for 2017 and add E2E to it. Ideally in the first quarter of 2017.</div><div><br></div><div>* Current SPAM/SPIM issue needs to be addressed in some way.</div><div><br></div><div>* XMPP on-boarding. New users finding the right XMPP service for them, one that matches their law requirements and privacy expectations. After registration, they need to easily/secure/privacy-enforcing fill up their roster with contacts based on known contact information like phone number or e-mail address.</div><div><br></div><div>I probably missed some, so feel free to add further points. What are your opinions, ideas, and suggestions on these issues?</div><div><br></div><div>Cheers,</div><div>Tobi</div></div>