lundi 21 août 2006

Blog 'template' vs blog 'fait maison': de la sécurité

Mes récentes déboires sur Thierry's, dues aux attaques incessantes de crackers (nota bene: cette-fois je dis bien crackers, non pas hackers... on en reparlera!), lesquels de crackers n'ont rien de plus interressant à faire apparement que de venir embeter un Malgache au fin fond du monde, m'ont conforté dans ma perception dans les avantages et inconvénients qu'offrent les deux choix suivants en me rappelant un autre point de critère somme-toutes important:

  • créer son blog chez un hébergeur qui offre un système de templates et autres pousse-boutons
  • se retrousser les manches et installer un 'véritable' CMS (Content Management System), logiciel libre dont on a tout le code source en main. N'oubliez pas de retrousser les manches de pantalon aussi, car dans ce cas on peut, si besoin est, s'enfoncer bien profondément dans le code et tout le toutim!
Nous aurons l'occasion de reparler des critères que le futur blogueur devrait prendre en compte dans le choix du système et mode d efonctionnement à adopter. Le critère important que je voudrais signaler aujourd'hui est celui de la sécurité.

Dans le cas où un CMS complet est utilisé, il est impératif de suivre de près les logs système, les alertes de sécurité et autres mises à jour liées au logiciel choisi et au langage de développement utilisé par ses concepteurs. Dépendant du cas, çà devient très vite ingérable sans la mise en place d'un système automatisé (ou au moins presque!). Si vous gérez tout votre serveur vous-même, çà se complique exponentiellement car il faut en faire de même pour le système de Base de Données, sans parler du Système d'Exploitation. Dans ce cas, si vous utilisez Linux, vous aurez déjà les gros ennuis causés par les virus en moins ;)... mais prudence quand-même! Bref, j'en passe et des meilleurs... car il ne suffit évidement pas de garder un oeil sur les alertes, l'objectif est bel et bien d'agir en conséquence, donc de mettre la main à la patte: préparer le café, préparer les mises à jour, préparer le café, effectuer les mises à jour, préparer le café, re-tester...

Et quand un hacker arrive à pénétrer vos défenses, ou un cracker à modifier des choses, c'est bien plus chronovore donc budgétivore. On sort du cadre de la surveillance habituelle car on part en chasse!

En face, l'autre solution, pousse-bouton de (presque) A à Z, offre au moins une tranquilité presque totale. Non pas que l'on soit inattaquable par les crackers, ç'est juste que toutes ces tâches de backups, veilles, maintenances, pistages, réparations et autres sont gérées par l'hébergeur. Hébergeur gratuit, s'il vous plait! (Aaaah... si le Net n'éxistait pas il faudrait l'inventer! La mentalité Humaine et donc celle du business est réellement en train de muter, il serait temps de s'en appercevoir!). Dormez tranquile, occupez-vous juste du contenu, patientez un peu le temps d'une coupure de maintenance (très rare!). L'Indicateur Objectivement Vérifiable est parlant: remarquable baisse de la consommation de café à 1/2 litres par jour!

Loin de moi l'idée de dégouter le monde (surtout les non-informaticiens) d'un véritable CMS. Mais il faut bien l'admettre: si l'objectif actuel est juste de faire un petit blog, et qu'il est sur que le projet ne nécessitera pas trop d'extensions ou d'ajouts de fonctionnalités par la suite... rien de tel que le presse-bouton! clic-clic-clic!

Mais allez... dépassé ce cadre très restreint, rien ne vaut un bon Joomla!
Yeah! because OpenSource matters!

Thierry Andriamirado
Thierry's .::. http://thierry.andriamirado.free.fr .::.
Toraka Bilaogy .::. http://torakabilaogy.blogspot.com .::.