Journal Areva → New Areva → Orano ? Vérifions ça…

Posté par (page perso) .
45
23
jan.
2018

« Demain » (après dormir)Dans la journée, New Areva (la branche « saine » issue de la scission d'Areva), devrait être renommée. D'après les informations du Monde (entre autres), le nouveau nom de l'entreprise devrait être Orano.

En vrai, on s'en cogne. Ce qui nous intéresse maintenant, c'est :

Peut-on vérifier la crédibilité d'une telle information ?

Une piste est de passer par le site internet. Areva et ses subdivision étant une entreprise de droit français, ils ont probablement un nom de domaine en .fr.

Un simple whois sur orano.fr ne nous donne rien d'exploitable immédiatement. Le nom de domaine est géré par une boite d'informatique qui le possède à son nom, et le client réel peut être n'importe qui. Le domaine est enregistré depuis le 23 juin 2017.

Mais si on va sur http://orano.fr, on obtient d'abord, une redirection HTTP :

HTTP/1.1 301 Moved Permanently
[…]
Location: http://www.orano.group/

On note que ça renvoie vers un curieux mélange de vieilles pratiques (le www) et d'un nom de domaine moderne (le .group). Mais déjà c'est un bon signe.

Cette page http://www.orano.group/ est protégée par un mot de passe HTTP – une bête authentification HTTP basique : WWW-Authenticate:Basic realm="www.orano.group".

Mais là où ça devient intéressant, c'est si on annule la demande de login et de mot de passe : le serveur HTTP est très bavard. Là où la logique voudrait qu'il nous serve une erreur 401 Authorization Required la plus neutre possible, en réalité il nous envoie ceci :


Cliquez pour voir en taille réelle

On y lit entre autres :

Physical Path D:\Inetpub\www-internet-NewAREVA\wwwroot

Et donc à moins d'avoir une plaisanterie très élaborée, on a bien la confirmation que Orano sera le nouveau nom de New Areva. CQFD !


Conclusion : si vous avez vraiment des informations à cacher, surveillez aussi ce que racontent les pages d'erreur de votre serveur HTTP.


Curiosités :

  • Le HTTPS ne fonctionne pas à cette heure.
  • Pourquoi partir sur un serveur HTTP vieux de plus de 4 ans et qui s'approche de la fin de son support principal ?
  • orano.com ne redirige pas sur www.orano.group, et appartient à une entreprise de Hong Kong.

Ce journal est issu de ce billet dont je me suis dit qu'il pouvait être pertinent ici aussi, et est placé sous licence CC BY 4.0 International.

  • # C'est nadine qui va être contente !

    Posté par (page perso) . Évalué à 6 (+6/-2).

    Merci pour elle.

  • # Dommage

    Posté par . Évalué à 5 (+3/-0).

    Cette page http://www.orano.group/ est protégée par un mot de passe HTTP

    Mince, on ne peut plus jouer, le site a été activé.

    • [^] # Re: Dommage

      Posté par (page perso) . Évalué à 10 (+10/-0).

      Y'a plus qu'à attendre le prochain renommage d'entreprise suite à un scandale industriel.

      La connaissance libre : https://zestedesavoir.com

  • # Conclusion alternative

    Posté par (page perso) . Évalué à 5 (+3/-0).

    Conclusion : si vous avez vraiment des informations à cacher, surveillez aussi ce que racontent les pages d'erreur de votre serveur HTTP. faites appel à un prestataire qui tient la route. C'est valable en informatique, plomberie, médecine, etc.

    • [^] # Re: Conclusion alternative

      Posté par . Évalué à 3 (+1/-1).

      C’est Areva quand même, on pourrait s’attendre à ce qu’ils aient des informaticiens, et des « acteurs du numérique » de manière plus générale, qui tiennent un minimum la route. Enfin… il y a des tas d’ingénieurs ou chefs de projets que ça ne dérange absolument pas de laisser les pages d’accueil par défaut des serveurs web, ou comme ici, une page d’erreur en mode debug… Y’en a aussi « chez moi » alors j’ose espérer qu’il y en a un peu partout, ça me rassure en quelque sorte :)

      • [^] # Re: Conclusion alternative

        Posté par (page perso) . Évalué à 2 (+1/-0).

        D'après le whois, ça n'est pas Areva/Orano qui réalise ça, mais eux.

        Cela dit ma conclusion ne s'appliquait pas qu'à ce cas particulier :)

        La connaissance libre : https://zestedesavoir.com

  • # Nom moche

    Posté par . Évalué à 7 (+4/-0).

    Ça doit être la période des noms moches… la structure dans laquelle je suis monte un groupe avec d’autres, ils ont aussi choisi un nom bien pourri :\ (non je ne le dirai pas)

    Le fait que le .com ne soit pas disponible (c’est sûr que c’est pas facile de trouver un truc encore libre…) me laisse perplexe. Est-ce que ce n’est pas la porte ouverte au phishing, ou au minimum à des problèmes de communications avec les clients et les fournisseurs ?

    Je viens de vérifier pour le groupe dont je parle plus haut… Je ne suis pas dans le même cas qu’Areva Orano, nous c’est à Taïwan :)

    Pour le www au début de l’URL je ne comprends pas bien en quoi c’est une ancienne pratique… Mettre un service par sous-domaine n’est-il pas ce qui est plus ou moins recommandé ? Je sais qu’on peut faire pointer le domaine directement sur un service particulier mais quel est l’intérêt ? Je veux dire, après, si tu dois te palucher les logs pour une raisons X ou Y, c’est pas pratique d’avoir le HTTP(S) sur www.example.com et pas simplement sur example.com ? Il y a quelque chose qui m’échappe à priori… Faut bien que le domaine lui-même pointe sur quelque chose on va me dire ?

    • [^] # Re: Nom moche

      Posté par (page perso) . Évalué à 5 (+4/-0).

      En vrai, le coup des www est une bataille qui fait encore rage – cf les innombrables posts sur une recherche « use www or not ».

      Pour un petit résumé :

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Nom moche

        Posté par . Évalué à 3 (+2/-1).

        Sur dropwww je lis "Some people that are not especially tech savvy think they need to include "www" in email addresses because they saw the prefix on the website" . J'ai vu pas mal de conneries en 15 ans de dev mais celle-là jamais !
        Il me semble justement que pour les Michus, www fait automatiquement référence aux sites/pages web donc qd je monte un site je redirige 301 le www.example.com vers example.com pour ceux qui seraient tentés de le rajouter. C'est vrai que le www est inutile mais à vrai dire le dérangement est minime, et ça permet -de ne pas égarer ceux qui pensent que le Web n'existe pas sans www, -d'utiliser un enregistrement CNAME pour pointer sur son cloud provider, -de gérer plus finement les cookies…

        Du coup je suis assez d'accord avec https://www.yes-www.org/why-use-www/

        • [^] # Re: Nom moche

          Posté par . Évalué à 7 (+5/-0). Dernière modification le 24/01/18 à 14:53.

          Le lien des anti est clairement pas convainquant, on sens qu'ils défendent leur idée bec et ongles, et je suis pas sûr que la totalité soit de bonne foi…

          Par exemple:

          It uses extra data.

          Since each character requires one byte (or eight bits) of data, a URL with "www" requires 32 more bytes […] When you multiply 32 bytes by the billions of URLs visited […] that's a lot of extra processing and bandwidth.

          Quand on parle de www, on parle de web. Bien souvent de (X)HTML. Donc, de XML, un langage qui comporte par nature une très haute quantité de données redondantes (…). Oser sortir que 4 caractères, donc, 4 octets en UTF8 (et pas 32) à une incidence importante sur le traffic web, faut vraiment pas avoir froid aux yeux.
          Et pourtant, en temps normal, j'aime bien quand on me cause d'optimisations.

          Franchement, je me demande si c'est pas une blague.

          • [^] # Re: Nom moche

            Posté par (page perso) . Évalué à 2 (+0/-0).

            Je trouve pénible que http://vim.org ne fonctionne pas alors que http://www.vim.org, oui. L'adresse est quand même 57% plus longue!

            Je n'ai pas de problème avec les sites qui autorisent les deux formes, par contre.

            • [^] # Re: Nom moche

              Posté par . Évalué à 2 (+0/-0).

              La version 'www uniquement' est débile, oui. Il faut en choisir une principale et y rediriger l'autre.
              (Ne pas servir le site aux 2 adresses sous peine de "duplicate content" )

            • [^] # Re: Nom moche

              Posté par . Évalué à 2 (+0/-0).

              Euh… dis-moi… ces 3 octets… ok, disons, 12 en UTF-8 qui ne respecterait pas le standard brut, comparé au poids de la page elle-même, ça s'élève à combien de %, l'impact? 0.1? 0.01? Foutage de gueule.

              • [^] # Re: Nom moche

                Posté par (page perso) . Évalué à 3 (+0/-0).

                Depuis quand www ça fait 12 octets en UTF-8 ?

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Nom moche

                  Posté par . Évalué à 2 (+0/-0). Dernière modification le 02/02/18 à 14:15.

                  Techniquement, rien n'empêche d'encoder 'w' sur 4 octets avec la méthode d'encodage d'UTF-8, sauf le fait que la norme dise qu'il faut pas (c'est une règle pour éviter que des gens fassent n'imp, pas une règle imposée par la méthode d'encodage).

                  C'est à ceci que je faisais référence:

                  In principle, it would be possible to inflate the number of bytes in an encoding by padding the code point with leading 0s. To encode the Euro sign € from the above example in four bytes instead of three, it could be padded with leading 0s until it was 21 bits long – 000 000010 000010 101100, and encoded as 11110000 10000010 10000010 10101100 (or F0 82 82 AC in hexadecimal). This is called an overlong encoding.

                  The standard specifies that the correct encoding of a code point use only the minimum number of bytes required to hold the significant bits of the code point. Longer encodings are called overlong and are not valid UTF-8 representations of the code point.

                  Donc, non, ce n'est pas standard, mais techniquement ce serait faisable sans péter les parseurs.
                  Et mon point c'était que, de toute façon prétendre que 3 (pardon, 4, j'ai oublié le .) caractères c'est pas à franchement parler la mer à boire à écrire, surtout qu'ils ne sont pas nécessairement écrits (redirection du domaine example.com vers le sous-domaine www.example.com) et que l'argument du poids des requêtes est totalement débile compte tenu du simple fait qu'utiliser le world wide web se base à priori sur le protocole http, qui rien qu'avec son en-tête dépassera allègrement en poids le worst-case (d'un www. encode en «utf-8» non standard, qui consommerait donc 16 octets)

                  • [^] # Re: Nom moche

                    Posté par (page perso) . Évalué à 3 (+0/-0).

                    Donc, non, ce n'est pas standard, mais techniquement ce serait faisable sans péter les parseurs.

                    Alors, j'ai testé en mettant F0 82 82 AC dans un fichier. Et less m'affiche <F0><82><82><AC> et vim j'affiche le symbole Euro. Mon terminal (en faisant un cat) m'affiche ����. Donc, ça pète pas mal de parseurs.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Linux ?

    Posté par . Évalué à 5 (+5/-1).

    On peut aussi souligner que leur truc tourne sous Windows…

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.