Ceci concerne tous les utilisateurs de scripts CGI et PHP. L'exploitation de problèmes de sécurité dans les applications web est habituellement automatisée et rarement dirigée seulement que sur les sites populaires. Les attaquants utilisent des bases de données de vulnérabilitées connues afin de compromettre des sites arbitraires en masse et voler des ressources à l'hébergeur.

Les applications web qui permettent à un visiteur d'envoyer des courriers électroniques vers des destinations arbitraires permettent l'envoi de spam sous votre compte. Les spammeurs ont des méthodes automatisées pour détecter de telles applications. Il est simple pour nos de localiser tout compte utilisateur qui fut utilisée pour envoyer de spam, car notre système de courrier enregistre l'identifiant utilisateur de n'importe quel programme utilisé pour envoyer du courrier. Nous offrons une application supportée, mail.fcgi, pour l'envoi de courrier par le web. csoft-cgi, mail.fcgi offre un support multilingue. Elle utilise une table interne pour éviter de publier les adresses de destination.

Nous ne permettons pas les scripts CGI dont la seule utilité est de compter le nombre de requêtes sur une page. De telles applications FastCGI sont permises, tant que les requêtes ne causent pas de connections individuelles distantes ou sur une base de données. De telles compteurs sont inexacts, ajoutent un délai au chargement de pages web et sont inutiles avec les fichiers journal d'Apache. Les fichiers journals sont exacts et ne gaspillent pas de ressources.

De façon générale, assumez que votre site web devra répondre à plusieurs requêtes par seconde. Seulement les moteurs de recherchent peuvent générer des rapides successions de requêtes.

Nous ne permettons pas l'utilisation d'applications CGI et PHP pour la prise en charge d'erreurs HTTP (tel que 403 et 404). Les applications FastCGI sont permises, tant que les requêtes ne causent pas de connections individuelles distantes ou sur une base de données. Les erreurs HTTP sont déjà enregistrées dans votre fichier journal d'erreur (que vous devez activer à partir de csoftadm).

Lorsque possible, utilisez un système autre que votre serveur pour tester et déboguer des logiciels expérimentaux. Dans plusieurs cas, il peut être pratique d'utiliser un de nos serveurs secondaires pour effectuer des tests. Vous avez toujours accès à au moins un serveur secondaire qui contient un mirroir de vos données.

Une variété d'outils sont disponibles pour aider cette tâche, tel que top, ps/ pstree, gdb te valgrind. Pour les applications C et C++, vous pouvez utiliser le flag d'option -g même sur vos binaires de production (l'information de déboguage n'est pas chargée en mémoire, elle utilise seulement de l'espace disque).

Tout application qui s'exécute constamment sur un serveur devrait utiliser un mécanisme pour éviter le gaspillage inutile de ressources lorsque l'application est inactive. En général, l'utilisation d'une interface de multiplexage sur entrées/sorties est utilisée à cet effet. Par exemple:

• Les interfaces standard select(2) et poll(2).
• L'interface kqueue(2) (serveurs *BSD seulement).
• La librairie libevent.
• Le module POE pour Perl (select() et poll() sont aussi disponibles dans Perl).
• La librairie liboop.
• La boucle itérative principale de GLib.

Les logiciels serveur sont notre spécialité, alors n'hésitez pas à contacter notre support technique si vous désirez de l'assistance.

Les robots (ou bots) IRC, tel que le programme eggdrop, ne sont pas permis sur nos serveurs principaux. Par contre, nous avons des serveurs disponibles pour cette application sans frais additionnel. Si vous voulez utiliser un bot, envoyez une requête au support technique et nous vous fournirons un accès shell sur un de ces serveurs.

Nous permettons les applications d'interface web pour l'IRC (soit CGI:IRC) sous nos plans à IP unique (Budget minimum), mais la liste des canaux permis doit être limitée. L'utilisateur ne doit pas pouvoir se joindre à des canaux arbitraires. Nous exigeons également que votre script utilise votre propre adresse IP pour se connecter au réseau IRC. Avec CGI:IRC, les paramètres nécessaires dans cgiirc.config seraient donc: cgiirc.config:

vhost = your-vhost-ip
allow_non_default = 0

Nous ne permettons pas l'utilisation de logiciels de retransmission de connections vers des adresses distantes (serveurs mandatés ou proxy servers), sans notre permission. Nous surveillons constamment les connections de nos serveurs à des adresses externes, ce qui nous permet de détecter les proxy très rapidement. Toute personne qui utilise un logiciel de proxy sans notre permission verra son accompte suspendu immédiatement.

Nous avons des méthodes très rapides et efficaces pour détecter tout courrier non-sollicité envoyé à partir de nos serveurs. Il est de notre devoir de suspendre immédiatement tout accompte responsable, sauf si les envois sont causés par une application utilisateur (par exemple un script PHP) exploitable, et que nous pouvons facilement désactiver l'application spécifique et contacter le client.

L'utilisation de tout logiciel à des fins d'attaque de type «Denial-of-Service» résultera en suspension immédiate et possible cancellation de l'accompte responsable.

Les scanneurs de sécurité tel que nmap, les scanneurs de vulnérabilités, et tout programme servant à tester ou exploiter des failles de sécurité («exploits») ne sont pas permis sur nos serveurs. Si vous désirez effectuer des tests très spécifiques par rapport à votre propre équipement, contactez nous d'abord.