Salut Hervé,

L'initiative est intéressante.

Voici quelques "détails" que je n'ai pas vu évoqués et qui me semblent importants, peut-être même au point d'avoir une page dédiée :


1) La Responsabilité
L'usager qui installe un site web devient à la fois administrateur, auteur, responsable de publication, etc.

Il est responsable devant les lois de tous les contenus public présent sur son site, qu'ils aient été publiés par lui-même ou par des tiers. (J'ai mis "lois" au pluriel car il y a toujours le problème épineux de savoir quelles lois s'appliquent, entre celles du pays du propriétaire du site, du pays qui héberge le serveur ou du pays de ceux qui consultent le site ou y postent des infos).

Il est aussi responsable de toute activité moins visible mais illégale qu'effectuerait son site/serveur. Par exemple, si un hackeur y a ajouté des pages de phishing ou un programme qui lui permet de télécommander le serveur pour participer à une attaque (ddos, intrusion, etc), c'est le propriétaire du site qui est responsable.

C'est pourquoi des robots pirates parcourent le net en permanence à la recherche de serveurs à hacker. A titre d'exemple, le serveur Zonephoto + Wiki reçoit environ 20 scrutations par heure, issues de robots qui cherchent des pages de CMS ayant des failles de sécurités connues (au moins par les hackeurs). Le CMS le plus activement recherché est wordpress.

Pour résumer, publier un site ou gérer un serveur apporte un certain pouvoir,


2) La sécurité
L'administrateur doit bien comprendre qu'il s'engage (aussi longtemps que le site est accessible) à tenir à jour TOUS les logiciels installés, le CMS et ses modules, mais aussi l'OS et tous les autres logiciels dans le cas d'un VPS ou dédié.
=> il ne doit pas négliger de s'inscrire sur les listes de diffusion des notifications de corrections de chaque logiciel.

Je ne peux aussi que conseiller de vérifier périodiquement qu'aucun fichier n'a été ajouté ou remplacé par un tiers. (Je le fais chaque semaine pour tous les sites sous ma responsabilité : je compare le contenu complet de chaque site avec celui de la copie que je conserve en backup, il y a d'excellents outils pour ça).

Une grosse partie des hack de serveurs sont dus à des versions non mise à jour de leur CMS ou de plugins, restés installés avec des failles de sécurités connues.

La plupart des autres hacks sont dus à des mots de masses trop facile à trouver ou à casser. L'admin ne doit pas négliger la robustesse (et l'unicité) des mots de passe utilisés par lui ou par les usagers qui ont des pouvoirs de publication ou d'intervention.



3) Sauvegardes
L'administrateur doit SAUVEGARDER les contenus importants ! Pour les pages ou fichiers "statiques", il suffit d'en avoir au moins une copie locale, à mettre à jour régulièrement, ce qui est facile avec des outils de comparaison de dossiers.

Pour les bases de données, il faut provoquer leur sauvegarde dans un fichier qui sera envoyé automatiquement vers un autre serveur ou récupéré régulièrement. Attention au piège : les fonctions de réplication de BDD ne constituent pas des backup !


Bonne continuation,
pascal

Merci Pascal pour tes observations.

1) Responsabilité :

Tu m'as pratiquement écris la page " Juridique" ..... merci :-)

2) La sécurité:

C'est un bon rappel que tu fait, la maintenance des versions des CMS employés est souvent une notion que les webmaster en herbe n'ont pas, cela sera dit et rappelé.

3) Sauvegarde :

Certains outils que je propose possède un système de sauvegarde, Agora Project propose de faire des sauvegardes des répertoires "strtégiques" et de la base de données, ZwiiCMS va proposer dans sa version 8 une sauvegarde du site.

Le public visé est "primo accédant", je doit donc proposer des outils simple à utiliser.

Pour les webmaster débutant "frileux" je leur propose de s’orienter vers des solutions clef en mains.


Quant tu parle de VPS et dédié nous sommes déjà dans une autre galaxie ..... ;-)

Encore merci d'avoir pris le temps de visiter ce site.


Hervé

Salut

J'ai rajouté cette page :
http://construiresonweb.fr?juridique--

et commencé à compléter celle la
http://construiresonweb.fr?install--

Hervé

je suis relativement d'accords avec ce que tu dis, sauf cette citation !

un mec te vole ta bagnole , et va ecraser des gens avec , tu es proprietaire de ta voiture, mais pas responsable de ce que le voleur fait avec !
il sera facile de demontrer le vol

pareil , si avec ta voiture, il s'en sert pour le transport du resultat d'un homicide
tu ne te retrouve pas complice d'un meurtre ! heureusement !
en droit français, pour qu'une charge soit retenue, il faut démontrer l'intention !
un Hacker, qui utilise ton espace pour faire ces bêtises a ton insu , ne te rends pas responsable ! (Ouf !! encore heureux )


bien sur je prends en compte
mais alors charge a l'accusation de demontrer que tu as fait preuve de negligence (genre donner ton password en publique )
ou ce genre de chose ....
mais là c'est une autre histoire .. la presomption d'innocence oblige ceux qui t'accuserai a avoir la charge de la preuve ....dans tout les cas

Désolé de te contredire Dobro, mais tu rêves.

En cas de vol de ta voiture, tu es responsable de toute action faite avec elle avant le dépôt de plainte pour vol.
Pour t'en dégager, tu devras prouver que tu n'avais pas pu savoir que ta voiture avait été volée et que tu n'as pas pu commettre l'acte illégal fait avec elle. Malgré tout ta responsabilité peut être impliquée si on prouve que tu as "facilité" le vol de ta voiture.
(Ce serait un peu facile : je suis responsable d'un accident -> je prends la fuite, j'abandonne ma voiture dans un chemin et je vais ensuite déposer une plainte pour vol !)


En se limitant à cet exemple, ton raisonnement suppose que tu aurais déposé plainte pour le hack de ton site AVANT qu'il ne soit utilisé à des fins illégales, et qu'en plus tu aurais été dans l'incapacité de supprimer les éléments délictueux mis en place par le hacker.

=> En cas d'action frauduleuse d'un site dont tu es responsable, tu restes responsable de ces actions tant que tu n'auras pas pu prouver qu'il y a eu hack, et tu devras malgré tout assumer la négligence de ne pas avoir sécurisé suffisamment ton site et de ne pas avoir surveillé son intégrité.


Accessoirement, depuis HADOPI il n'y a plus présomption d'innocence en cas de violation de droits d'auteurs via l'internet. Bien qu'il ait été démontré que l'IP peut être facilement falsifiée, c'est quand même à l'accusé de prouver qu'il n'a pas fait l'acte qu'on lui attribue, notamment en prouvant qu'il a sécurisé son environnement de façon "suffisante" (et je ne vois pas comment le prouver).

Salut

Petite nouvelle sur le projet

Comme le site parle du libre, j'ai fait une demande à l'association Tuxfamily qui a été accepté d'héberger mon projet, le site passe donc à cette adresse http://construiresonweb.tuxfamily.org/

J'ai plus qu'a bosser :-)

Pour rappel cette association soutien des projets autour du libre comme Toile libre et d'autres.

Hervé