Identificador de sesión

De Wikipedia, la enciclopedia libre
(Redirigido desde «ID de sesión»)
Ir a la navegación Ir a la búsqueda

En informática, un identificador de sesión o un ID de sesión o un token de sesión es un dato que se utiliza en las comunicaciones de red (a menudo a través de HTTP) para identificar una sesión, una serie de intercambios de mensajes relacionados. Los identificadores de sesión se hacen necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado como el HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor desea reunir una serie de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Esto suele implicar una comunicación continua en la que el cliente solicita varias páginas web y el servidor se las devuelve. En tal situación, es vital hacer un seguimiento del estado actual del carrito de compras del comprador, y una identificación de la sesión es una forma de lograr ese objetivo.

Un Identificador de sesión se concede típicamente a un visitante en su primera visita a un sitio. Se diferencia de un ID de usuario en que las sesiones suelen ser de corta duración (expiran después de un tiempo de inactividad preestablecido que puede ser de minutos u horas) y pueden perder su validez una vez alcanzado un determinado objetivo (por ejemplo, una vez que el comprador ha finalizado su pedido, no puede utilizar el mismo ID de sesión para añadir más artículos).

Como las identificaciones de sesión se utilizan a menudo para identificar a un usuario que se ha conectado a un sitio web, un atacante puede utilizarlas para secuestrar la sesión y obtener posibles privilegios. Una identificación de sesión suele ser una cadena generada aleatoriamente para disminuir la probabilidad de obtener una válida mediante una búsqueda de fuerza bruta. Muchos servidores realizan una verificación adicional del cliente, en caso de que el atacante haya obtenido la identificación de la sesión. El bloqueo de una identificación de sesión en la dirección IP del cliente es una medida sencilla y eficaz siempre que el atacante no pueda conectarse al servidor desde la misma dirección, pero a la inversa puede causar problemas a un cliente si éste tiene múltiples rutas hacia el servidor (por ejemplo, conexiones de Internet redundantes) y la dirección IP del cliente se somete a la traducción de la dirección de red.

Ejemplos de los nombres que algunos lenguajes de programación usan cuando nombran su cookie incluyen JSESSIONID (Java EE), PHPSESSID (PHP), y ASPSESSIONID (Microsoft ASP).

Véase también[editar]

Enlaces externos[editar]