jitsi est également dispo sur android en alpha
ça fonctionne

TL;DR; rien ne change.

Malgré que le logiciel Google Talk Windows soit déprécié depuis le 23/02, la fédération XMPP fonctionne toujours chez google (sauf si vos correspondants sont passés sur hangouts).

Il n'y a toujours pas de support de TLS pour les connections server to server (s2s). Donc pensez à configurer correctement votre serveur XMPP pour downgrader ces connections en clair... (souvenez vous: https://jeekajoo.eu/links/?BQ0Uig). 눈_눈 du coup, optez pour un chiffrement de bout en bout, avec OTR.

ordre:

• clé privée au format PEM
• certificat au format PEM
• certificat intermédiaire au format PEM

client xmpp en javascript qui s'apparente à jappix mini (https://mini.jappix.com/ , qui n'est pas libre me semble-t-il)
intégrable dans plone, django, roundcube, wordpress, patternslib.

Jeremie Miller, l'inventeur de jabber/XMPP, vient de rejoindre Layer: https://layer.com/news/post/why-I-joined-layer-jeremie
Le but de cette startup est de réduire la fragmentation des messageries instantanées, en particulier sur le mobile, et de les fédérer.
Pour cela, Layer va fournir un SDK (pour android, iOS et "web") qui permettra très facilement de créer une appli du style de whatsapp mais en intéropérable et basé sur des standards.

Je doute du succès de cette entreprise car le seul but de google (hangouts), apple (imessage), facebook, whatsapp, viber, etc. est d'enfermer leurs utilisateurs dans leurs écosystèmes respectifs.

Leur but est aussi d'amasser le plus d'utilisateurs possible de toutes les manières possible et notamment en leur "suggérant fortement" l'utilisation de leurs appli proprios:

• imessage installé de base sur iOS
• google hangouts installé de base à partir de android 4.4 pour gérer les SMS et le chat de manière unifiée, ça va faire mal :(
• chatON intallé de base sur les terminaux samsung?
• et les opérateurs s'y mettent: joyn installé de base sur les terminaux vendus par Orange?

J'espère vivement que Layer va réussir son pari. Sait-on jamais.

C'est un peu comme ssllabs (serveurs web) mais pour les serveurs XMPP.
Le test est focalisé sur la sécurité DNS et TLS. On peut tester les connexions s2s (server to server) comme les connexions c2s (client to server).

Le but avoué de cet observatoire est bien entendu d'améliorer la sécurité autour de XMPP. Aujourd'hui le bilan est mauvais, un peu comme SMTP. En vrac:

• starttls optionnel voire absent
• ciphersuites pourries des serveurs ou clients xmpp. la derniere maj sécu de ejabberd a corrigé ce problème pour ma part.
• mauvaise configuration au niveau certificat
• ...
  Ces problèmes sont en grandes parties liées à la méconnaissance / l'incompétence des administratreurs de ces serveurs xmpp. D'où la nécessité d'informer.
  Voir aussi ce manifesto à signer si vous êtes admin d'un serveur xmpp public: https://github.com/stpeter/manifesto/blob/master/manifesto.txt

Exemple de résultats avec mon serveur XMPP "privé": http://xmpp.net/result.php?domain=fralef.me&type=client http://xmpp.net/result.php?domain=fralef.me&type=server

edit: un peu déçu de voir les scores aussi pourris du CCC... http://xmpp.net/result.php?domain=jabber.ccc.de&type=server
edit: ils ont daigné updater leur ejabberd. corrigé.

Avoir son serveur xmpp c'est vraiment symbolique... en tout cas pour moi.. car 95% des gens auquels je parle sur xmpp utilisent un compte gtalk.
Comme si cela ne suffisait pas, Google n'autorise pas TLS pour les communications de serveur à serveur (s2s)...

Logs de mon serveur xmpp quand il essaie de communiquer en TLS vers google :
I(<0.2729.0>:ejabberd_s2s_out:1203) : Trying to open s2s connection: fralef.me -> gmail.com with TLS=true
I(<0.2772.0>:ejabberd_s2s_out:365) : Connection established: fralef.me -> gmail.com with TLS=false

De là à dire que c'est fait exprès pour faciliter les interceptions, il n'y a qu'un pas.

Très pratique pour éditer sa liste de contact ou pour la migrer sur un nouveau serveur xmpp.
Je viens de m'en servir car j'avais la flemme de triturer la base mnesia de ejabberd pour ma migration de serveur (ovh --> online.net). En effet, le changement de hostname du node erlang fait que la base mnesia ne peut lire le fichier de spool pour la table 'config'. Donc quand on reprends les fichiers de /var tels quels, on a une belle erreur fatale au démarrage de ejabberd.

Bref, du coup install from scratch de ejabberd sur le nouveau serveur + recréation de mon user (même JID) en 1 commande + réimport de mon roster avec JRU (installé sur mon serveur). 5minutes, moins long que de jouer avec mnesia / erlang et ses commandes bizarres.
Une fois configuré, ejabberd c'est du bonheur on y retouche plus jamais.

un projet très prometteur qu'il faut que je regarde plus en détails

Client xmpp basé sur Strophe.js et conçu pour firefoxos.
je pense qu'on peut hacker le code pour l'installer sur son propre serveur avec du nodejs mais ce n'est qu'une supposition.

autres alternatives : jappix (que j'utilise et que je recommande), movim

L'intention de développer une application qui se veut sécurisée et qui dit sécuriser les échanges est bonne, mais
1) encore faut-il qu'elle soit libre pour qu'on puisse faire de la revue de code
2) ça ne sert pas à grand chose si elle est uniquement destinée à des OS non securisés que sont Android et iOS (surtout iOS pour son coté boite noire).

Cela étant dit, si cela peut au moins démocratiser le chiffrement les données c'est déja ça.
Autre bon point : c'est basé sur des standards éprouvés (xmpp+pgp).

je garde ça sous le coude. j'enverrai un truc du genre quand gtalk aura disparu.
via @bajazet