Une page perso conforme, kézako ?

Les Pages Perso Chez Free

Par Al, le , dans Éviter les problèmes. / Dernière modification : le par Al (merci à Cartomi, Clavel et Philippe92 pour leurs contributions sur le forum Usenet, je m'en suis largement inspiré pour rédiger ce billet, merci à Coyote mal réveillé et mithril94).
Tags : MySQL, PostgreSQL, Sécurité, Tutoriaux, CGV, Console de gestion, Erreur 403, Erreur-500, Apache, Fonction mail(), Phishing, PHP, Spam, Stockage, Suspension

On entend souvent dire, ici ou là, que les Pages Perso doivent être conformes aux règles d'usage de Free pour ne pas être suspendues ou pour permettre la levée de la suspension. Mais il n'existe pas de documentation officielle sur les motifs de non-conformité. Voici donc quelques règles de base concernant les Pages Perso et leur conformité avec les règles d'usage de Free. Cet article est une extension à la FAQ.

Résumé : une page perso conforme c'est…

Un vrai site Web, accessible (en lecture) à tous, directement depuis la racine du compte et sans abus de ressources sur une architecture mutualisée (pas de stockage, pas de webcam, pas de statistiques autres que celles proposées par Free, pas de système de backups stockant les archives sur le compte, etc.).

De même, il convient d'éviter le détournement de la finalité des pages perso pour des utilisations qui n'ont rien à voir avec la publication d'un site Web.

Les points essentiels de conformité

Une page perso conforme, c'est (la liste ci-dessous n'est ni exhaustive, ni officielle mais reflète les principaux cas de blocages rencontrés) :

  • une page d'index à la racine du compte, ou un fichier .htaccess, pointant vers la page d'accueil du site si celle-ci n'est pas à la racine ;
  • pas de plate-forme de création de sites ou blogs ;
  • pas de site éternellement « en travaux » ou en « test » ;
  • pas de restriction d'accès dès la page d'accueil du site, seule une « partie privée est tolérée, à condition que les ressources du site restent majoritairement accessibles en lecture à tous les visiteurs, sans inscription préalable ») ;
  • pas de stockage de fichiers « nus » (utiliser http://dl.free.fr ou un autre service), même organisé ;
  • pas de proxy ;
  • pas de fichiers dont vous ne disposez pas des droits de reproduction ou de diffusion ;
  • pas de redirection du compte vers d'autres domaines (elles doivent être temporaires, générées par Apache, le temps que les moteurs de recherche mettent à jour leurs indexes) ;
  • pas de site proposant uniquement du « téléchargement » ;
  • pas de répertoires contenant des milliers de fichiers ;
  • pas de CMS utilisant des fichiers texte (ou une base SQLite) comme base de données (GuppY, PluXml, Phortail, dokuwiki, etc.) ;
  • des CMS ou autres outils à jour, pour éviter l'exploitation des failles de sécurité connues ;
  • pas de site dont la page d'index cache une poubelle (ce qui est assimilable à du stockage) ;
  • pas de statistiques de visites ou de logs/historiques/debug en base de données ou dans des fichiers (il est préférable d'utiliser les outils fournis par Free, Google, Xiti ou autres) ;
  • pas de contenu illégal au regard de la loi (site offensant, apologie de crimes, pédophilie, sectes, etc.) ;
  • pas de site à vocation totalement commerciale (les vitrines d'entreprises, d'auto-entreprenneurs et artisans sont autorisées) ;
  • pas de système de sauvegardes (backups) stockant les sauvegardes sur le site. Utiliser les méthodes autorisées ;
  • pas de webcam déversant ses fichiers images par FTP ;
  • pas de cache d'une taille démesurée et non justifiée ;
  • pas de site utilisant des fichiers comme base de données ;
  • pas de base de données d'une taille démesurée et non justifiée ou incluant des requêtes non optimisées ;
  • pas de site générant un nombre de requêtes disproportionné au regard de la taille et de la fréquentation du site ;
  • pas de fichiers binaires (BLOB, images, fichiers) en base de données ;
  • pas de fichiers servis depuis PHP (Apache est fait pour cela, utilisez des liens directs vers les fichiers en téléchargement) ;
  • pas de spam en base de données ou de spam email émis depuis votre compte ;
  • pas de prise en compte insuffisante de la sécurité (mots de passe complexes et différenciés, limitation du listing des répertoires, des formulaires sécurisés et protégés contre les injections de code et les robots spammeurs, etc.) ;
  • pas de comptes multiples faisant office de miroir/doublon/divisions de sites : un compte = un site (incluant le site, les forums…) ;
  • pas de malware, virus, trojan accessible depuis votre site (que vous les ayez placé ou que votre compte soit compromis) ;
  • pas de comptes multiples ayant pour vocation de faire du référencement déguisé.

Certaines bonnes pratiques (liste non exhaustive également) sont, de plus, fortement recommandées :

  • des fichiers .htaccess à la racine du compte et dans les répertoires sensibles pour bloquer certaines actions ou l'accès à des ressources sensibles ;
  • une protection de type captcha pour éviter le spam en base de données si il y a des formulaires de saisie ;
  • pas d'utilisateurs « invités » pouvant poster librement sans être dûment enregistré, ou validés par l'administrateur et des formulaires (d'inscription, de contacts, de commentaires…) protégés par un captcha ou un autre système de protection (mais, de préférence, aucune restriction pour la consultation) ;
  • une mise à jour régulière des CMS et/ou des scripts utilisés ;
  • s'informer sur la sécurité informatique et la mettre en pratique ;
  • un suivi régulier de son site ;
  • proscrire tous les comportements à risque ;
  • avoir une sauvegarde locale de son site ;
  • travailler en local sur son site, avant de le charger sur les serveurs des pages perso ;
  • des mots de passe différenciés et robustes ;
  • ne pas se servir des pages perso comme un support exclusivement professionnel car aucune garantie de service n'est assurée.

Les comportements suivants sont à bannir, car ils sont contraires aux lois en vigueur en France, et donc passibles de poursuites judiciaires à l'encontre de l'éditeur du site, conformément à la loi du 1er août 2000 :

  • l'incitation à la haine raciale ;
  • l'incitation à la prostitution et à la pornographie ;
  • l'apologie de sectes ou de mouvements sectaires ;
  • les démarches commerciales ou promotionnelles liées à une marque ;
  • l'atteinte à la vie privée d'autrui ;
  • la publication de propos diffamants concernant une personne physique ou morale ;
  • la mise à disposition de « warez », ou de codes permettant de « cracker » un logiciel ;
  • l'incitation à la consommation de substances illicites ;
  • la violation du code de la propriété intellectuelle et la publication de sons, d'images ou de textes dont vous ne disposez pas des droits de distribution ou de reproduction.

Il est également rappelé aux éditeurs de sites Web diffusant ou collectant des données à caractère personnel qu'il est impératif de recueillir l'accord des intéressés, et d'indiquer clairement les modalités de rectification et de suppression de ces données, conformément aux articles 39 et suivants de la loi no 78-17 du 6 janvier 1978, modifiée en 2004, relative à l’informatique, aux fichiers et aux libertés.

Cas des comptes « vides »

Depuis la modification du comportement par défaut de la directive DirectoryIndex suite à une demande de la CNIL, les comptes vides (laissés en jachère pour réutilisation ultérieure) sont considérés conformes lors des demandes de réactivation si ils répondent aux conditions suivantes :

  1. Les bases de données MySQL/PostgreSQL sont totalement vides ;
  2. L'espace de stockage des fichiers Web est totalement vide ;
  3. Un fichier .htaccess est présent à la racine du compte avec comme seule et unique ligne Options +Indexes.