Identificador de sesión

Este artículo o sección necesita referencias que aparezcan en una publicación acreditada. Busca fuentes: «Identificador de sesión» – noticias · libros · académico · imágenes Este aviso fue puesto el 28 de junio de 2020.

En el ámbito de la informática, un identificador de sesión o ID de sesión (del inglés: session ID) es una herramienta que se utiliza en la comunicación de red para identificar la sesión de un usuario en un sitio web. En cuanto a la estructura, es una secuencia numérica alojada en el servidor web^[1]​. Los identificadores de sesión se hacen necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado como el HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor desea reunir una serie de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Esto suele implicar una comunicación continua en la que el cliente solicita varias páginas web y el servidor se las devuelve. En tal situación, es vital hacer un seguimiento del estado actual del carrito de compras del comprador, y una identificación de la sesión es una forma de lograr ese objetivo.

Un Identificador de sesión se concede típicamente a un visitante en su primera visita a un sitio. Se diferencia de un ID de usuario en que las sesiones suelen ser de corta duración (expiran después de un tiempo de inactividad preestablecido que puede ser de minutos u horas) y pueden perder su validez una vez alcanzado un determinado objetivo (por ejemplo, una vez que el comprador ha finalizado su pedido, no puede utilizar el mismo ID de sesión para añadir más artículos).

Como las identificaciones de sesión se utilizan a menudo para identificar a un usuario que se ha conectado a un sitio web, un atacante puede utilizarlas para secuestrar la sesión y obtener posibles privilegios. Una identificación de sesión suele ser una cadena generada aleatoriamente para disminuir la probabilidad de obtener una válida mediante una búsqueda de fuerza bruta. Muchos servidores realizan una verificación adicional del cliente, en caso de que el atacante haya obtenido la identificación de la sesión. El bloqueo de una identificación de sesión en la dirección IP del cliente es una medida sencilla y eficaz siempre que el atacante no pueda conectarse al servidor desde la misma dirección, pero a la inversa puede causar problemas a un cliente si éste tiene múltiples rutas hacia el servidor (por ejemplo, conexiones de Internet redundantes) y la dirección IP del cliente se somete a la traducción de la dirección de red.

Ejemplos de los nombres que algunos lenguajes de programación usan cuando nombran su cookie incluyen JSESSIONID (Java EE), PHPSESSID (PHP), y ASPSESSIONID (Microsoft ASP).

Véase también

• Administración de sesión

Enlaces externos

• "Manual de PHP"
• "Manual de ASP" en w3schools

Referencias

1. «¿Qué es un session ID?». IONOS Digitalguide. Consultado el 13 de mayo de 2022.