<div dir="ltr">On Wed, Oct 30, 2013 at 4:55 PM, Peter Saint-Andre <span dir="ltr"><<a href="mailto:stpeter@stpeter.im" target="_blank">stpeter@stpeter.im</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">>> Do we need, to be consistent, to disable the protocol but<br></div><div class="im">
>> indicate to the user he will need to perform an extra action to<br>
>> be able to connect, or do we need to make the connection<br>
>> impossible in any case?<br>
<br>
</div>IMHO it's usually not a great idea to give the user insecure options. :)<br>
<div class="im"></div></blockquote></div><br></div><div class="gmail_extra">At the risk of derailing discussions or adding noise, it's worth noting that not everyone's opinion of what is insecure is the same and varies by context. I have worked with some XMPP systems where the connection method doesn't involve TLS that I would consider pretty secure.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">Service providers on the Internet will probably be fine with committing to all this stuff, but we should (IMNSHO) continue to stop short of suggesting to devs what their software needs to do by default (I think it's sensible to suggest things that need to be supported).</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">/K</div></div>