En informática , un identificador de sesión , un ID de sesión o un token de sesión es un dato que se utiliza en las comunicaciones de red (a menudo a través de HTTP ) para identificar una sesión , una serie de intercambios de mensajes relacionados. Los identificadores de sesión se vuelven necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado.como HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor desea recopilar una serie de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Por lo general, esto implica una comunicación continua en la que el cliente solicita varias páginas web y el servidor las envía de vuelta. En tal situación, es vital realizar un seguimiento del estado actual del carrito del comprador, y una identificación de sesión es una forma de lograr ese objetivo.
Por lo general, se otorga una identificación de sesión a un visitante en su primera visita a un sitio. Se diferencia de un ID de usuario en que las sesiones suelen ser de corta duración (caducan después de un tiempo de inactividad preestablecido que puede ser de minutos u horas) y pueden volverse inválidas después de que se haya alcanzado un objetivo determinado (por ejemplo, una vez que el comprador ha finalizó su pedido, no puede usar la misma ID de sesión para agregar más elementos).
Como los ID de sesión se utilizan a menudo para identificar a un usuario que ha iniciado sesión en un sitio web, un atacante puede utilizarlos para secuestrar la sesión y obtener posibles privilegios. Un ID de sesión suele ser una cadena generada aleatoriamente para disminuir la probabilidad de obtener uno válido mediante una búsqueda de fuerza bruta . Muchos servidores realizan una verificación adicional del cliente, en caso de que el atacante haya obtenido el ID de sesión. Bloquear una ID de sesión en la dirección IP del cliente es una medida simple y efectiva siempre que el atacante no pueda conectarse al servidor desde la misma dirección, pero a la inversa puede causar problemas a un cliente si el cliente tiene múltiples rutas al servidor (por ejemplo, redundante conexiones a Internet) y la dirección IP del cliente se somete a la traducción de direcciones de red .
Algunos ejemplos de los nombres que utilizan algunos lenguajes de programación al nombrar sus cookies incluyen JSESSIONID ( Java EE ), PHPSESSID ( PHP ) y ASPSESSIONID ( Microsoft ASP ).
Ver también
enlaces externos
- "Manual de PHP"
- "Manual ASP" en w3schools