Bon pour mon boulot (je bosse dans la recherche d’offres de voyages), on doit rediriger les utilisateurs vers la page produit du marchand. Ca fonctionne souvent bien, sauf quand le marchand utilise des cookies; dans ce cas, l’utilisateur a un beau message “session expirée” ou une connerie du genre.
Je me demandais s’il était possible d’écrire un ActiveX qui suivant les paramètre donnés, serait capable d’écrire un cookie pour un autre site (par exemple si on redirige vers marchanda.com), juste avant, grace a notre ActiveX, mettre les cookies nécessaires pour que la session n’expire pas sur le site marchand. Je tiens à préciser que nous avons déjà tous les paramètres nécessaires pour écrire le cookie.
Quelqu’un qui maitrise le sujet pourrait me donner des tips?
Non tu peux pas. C’est fait expres. Ca s’appelerait un cross site exploit. LEs cookies sont bases sur les noms de domaines, si t’as pas le meme nom, tu as pas acces.
Le marchand a du prevoir une page d’entree ou une manip pour creer la session et/ou la passer par l’url (apres elle sera geree par cookie, etc) et faire ca comme il faut. Je vois pas comment avec une vrai session sur une machine tierce qui ne marche que par cookie tu peux esperer t’en sortir voire meme comment tu as les infos necessaires pour un id de session :P. Tu peux aussi hoster une image du marchand qui va mettre un cookie sur la machine du gars, mais il va falloir le declarer dans ta policy P3P sinon le cookie sera bloque par defaut. Et encore je suis meme pas sur que tu puisse de nos jours… a verifier…
Tout est fait pour bloquer ce genre de manips, il y a des solutions propres qui permettent de faire les choses « comme il faut » pour pas vouloir exploser/contourner les regles de securite en ecrivant un ActiveX degueu (qui sera bloque par defaut aussi d’ailleurs)
Bah notre système est justement fait pour que le marchand ai 0 intégration à faire. Même pire: il est pas a courant qu’on fait une comparaison de prix sur son site. On est déjà capable de créer une session sans faire de truc dégueu, mais on arrive pas a balancer les cookies nécessaires sur le client.
Si on peut pas le faire en activeX, ya une autre technique?
Non, comme je te dis, c’est fait expres pour que tu puisses pas le faire. Les sessions c’est fait pour se re-creer a la volee. Si t’inclus aucun identifiant de session il devrait t’en creer un nouveau. Bien sur dans ce cas tu auras une nouvelle session. T’as pas le choix, ou tu envoies les gens sur la page du produit, ou si tu veux le mettre dans leur shopping cart, il va falloir faire tout l’achat de A a Z depuis ton site pour le client (ce qui etait en tres tres gros ce que faisait la startup ou j’ai bosse en 99/00). De toute facon si tu veux toucher les comissions par referencement des marchands qui est quand meme l’interet principal pour ceux qui font ce genre de site, il faut passer par un jeu de page precis avec un identifiant de referencement et tout.
