| dbo:abstract
|
- Ein Sitzungsbezeichner (auch Sitzungskennung, Sitzungsnummer oder Sitzungs-ID, englisch session identifier, kurz englisch session ID) wird bei Anwendungen auf zustandslosen Protokollen als Identifikationsmerkmal verwendet, um mehrere zusammengehörige Anfragen eines Benutzers zu erkennen und einer Sitzung zuzuordnen. Insbesondere bei Webanwendungen finden Session IDs breite Verwendung. Im World Wide Web werden Dienste aller Art mit Hilfe des Hypertext Transfer Protocol (HTTP) angeboten. Diese Dienste bestehen häufig aus mehreren zusammengehörigen Anfragen und Antworten. Um beispielsweise in einem Webshop etwas einzukaufen, durchstöbert der Benutzer zuerst den Katalog, lässt sich einige Artikel im Warenkorb vormerken und führt dann die Bestellung aus. Derart komplizierte Vorgänge werden von HTTP jedoch nicht direkt unterstützt, denn es ist ein zustandsloses Protokoll. Eine HTTP-Anfrage liefert nur eine einzige Webseite zurück und merkt sich nicht, welcher Benutzer dazugehört. Um mehrere solche Anfragen zusammenzufassen und dem Benutzer zuzuordnen, wird bei jeder Anfrage eine Session ID mitgeschickt. Diese kann sich die Webanwendung merken und so die einzelnen Anfragen einer gemeinsamen Sitzung zuordnen. In der Regel wird die Sitzung nach einer gewissen Zeit automatisch (Zeitüberschreitung) oder durch Abmelden beendet und die Session ID wird gelöscht. Es ist deshalb nicht möglich, den aktuellen Status einer Sitzung – zum Beispiel durch Anlegen eines Lesezeichen – zu speichern und später wieder aufzurufen. Diese Beschränkung kann auch vom Betreiber des Dienstes beabsichtigt sein, um das direkte Verlinken auf einzelne Seiten seines Angebots („Deep Links“) zu verhindern. (de)
- En el ámbito de la informática, un identificador de sesión o ID de sesión (del inglés: session ID) es una herramienta que se utiliza en la comunicación de red para identificar la sesión de un usuario en un sitio web. En cuanto a la estructura, es una secuencia numérica alojada en el servidor web. Los identificadores de sesión se hacen necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado como el HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor desea reunir una serie de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Esto suele implicar una comunicación continua en la que el cliente solicita varias páginas web y el servidor se las devuelve. En tal situación, es vital hacer un seguimiento del estado actual del carrito de compras del comprador, y una identificación de la sesión es una forma de lograr ese objetivo. Un Identificador de sesión se concede típicamente a un visitante en su primera visita a un sitio. Se diferencia de un ID de usuario en que las sesiones suelen ser de corta duración (expiran después de un tiempo de inactividad preestablecido que puede ser de minutos u horas) y pueden perder su validez una vez alcanzado un determinado objetivo (por ejemplo, una vez que el comprador ha finalizado su pedido, no puede utilizar el mismo ID de sesión para añadir más artículos). Como las identificaciones de sesión se utilizan a menudo para identificar a un usuario que se ha conectado a un sitio web, un atacante puede utilizarlas para secuestrar la sesión y obtener posibles privilegios. Una identificación de sesión suele ser una cadena generada aleatoriamente para disminuir la probabilidad de obtener una válida mediante una búsqueda de fuerza bruta. Muchos servidores realizan una verificación adicional del cliente, en caso de que el atacante haya obtenido la identificación de la sesión. El bloqueo de una identificación de sesión en la dirección IP del cliente es una medida sencilla y eficaz siempre que el atacante no pueda conectarse al servidor desde la misma dirección, pero a la inversa puede causar problemas a un cliente si éste tiene múltiples rutas hacia el servidor (por ejemplo, conexiones de Internet redundantes) y la dirección IP del cliente se somete a la traducción de la dirección de red. Ejemplos de los nombres que algunos lenguajes de programación usan cuando nombran su cookie incluyen JSESSIONID (Java EE), PHPSESSID (PHP), y ASPSESSIONID (Microsoft ASP). (es)
- In computer science, a session identifier, session ID or session token is a piece of data that is used in network communications (often over HTTP) to identify a session, a series of related message exchanges. Session identifiers become necessary in cases where the communications infrastructure uses a stateless protocol such as HTTP. For example, a buyer who visits a seller's website wants to collect a number of articles in a virtual shopping cart and then finalize the shopping by going to the site's checkout page. This typically involves an ongoing communication where several webpages are requested by the client and sent back to them by the server. In such a situation, it is vital to keep track of the current state of the shopper's cart, and a session ID is one way to achieve that goal. A session ID is typically granted to a visitor on their first visit to a site. It is different from a user ID in that sessions are typically short-lived (they expire after a preset time of inactivity which may be minutes or hours) and may become invalid after a certain goal has been met (for example, once the buyer has finalized their order, he cannot use the same session ID to add more items). As session IDs are often used to identify a user that has logged into a website, they can be used by an attacker to hijack the session and obtain potential privileges. A session ID is usually a randomly generated string to decrease the probability of obtaining a valid one by means of a brute-force search. Many servers perform additional verification of the client, in case the attacker has obtained the session ID. Locking a session ID to the client's IP address is a simple and effective measure as long as the attacker cannot connect to the server from the same address, but can conversely cause problems for a client if the client has multiple routes to the server (e.g. redundant internet connections) and the client's IP address undergoes Network Address Translation. Examples of the names that some programming languages use when naming their cookie include JSESSIONID (Java EE), PHPSESSID (PHP), and ASPSESSIONID (Microsoft ASP). (en)
- En informatique, un identificateur de session (aussi appelé identifiant de session, ID session ou jeton de session ; en anglais, session identifier, session ID or session token) est une donnée qui est utilisée dans les communications réseau (souvent sur HTTP) pour identifier une session, une série d'échanges de messages connexes. Les identificateurs de session deviennent nécessaires dans les cas où l'infrastructure de communication utilise un protocole sans état comme HTTP. Par exemple, un acheteur qui visite le site d'un vendeur souhaite placer un certain nombre d'articles dans un panier virtuel, puis finaliser les achats en allant sur la page de paiement du site. Cela implique généralement une communication au cours de laquelle plusieurs pages web sont demandées par le client et envoyées par le serveur du vendeur. Dans une telle situation, il est essentiel de garder une trace de l'état du panier de l'acheteur. Un identificateur de session est un moyen d'atteindre cet objectif. Un identificateur de session est généralement attribué à un visiteur lors de sa première demande de page sur un site. Il est différent d'un identificateur d'utilisateur. Les identificateurs de session sont généralement de courte durée. Ils expirent après un temps d'inactivité prédéfini qui peut s'exprimer en minutes ou en heures. Ils expirent aussi après qu'un certain objectif a été atteint (par exemple, une fois que l'acheteur a finalisé sa commande. L'utilisateur ne peut pas utiliser le même identificateur de session pour faire une seconde commande. Comme les identificateurs de session sont souvent utilisés pour identifier un utilisateur qui a ouvert une session sur un site web, ils peuvent être utilisés par un attaquant pour et obtenir des privilèges. Un identificateur de session est souvent une longue chaîne de caractères générée de manière aléatoire pour diminuer la probabilité de trouver un identificateur valide au moyen d'une attaque par force brute. De nombreux serveurs effectuent des vérifications supplémentaires de l'identité de l'utilisateur pour prévenir les cas où un attaquant a obtenu l'identificateur de la session. Le verrouillage d'un identificateur de session sur l'adresse IP de l'utilisateur est une mesure simple et efficace tant que l'attaquant ne peut pas se connecter au serveur à partir de la même adresse, mais peut inversement causer des problèmes pour un utilisateur si celui-ci utilise plusieurs routes vers le serveur (par exemple, différentes connexions Internet) et ou si l'adresse IP de l'utilisateur subit une traduction d'adresse réseau. Un identificateur de session est un identificateur unique, généralement sous la forme d'un hash généré par une fonction de hachage. Le hash est généré et envoyé d'un serveur à un client pour identifier la session d'interaction actuelle. Le client stocke et renvoie habituellement l'identificateur en tant que cookie HTTP et / ou l'envoie en tant que paramètre dans les requêtes GET ou POST. La raison de l'utilisation des identificateurs de session est que le client doit uniquement gérer l'identificateur (une petite donnée qui contient peu d'information et présente donc un risque de sécurité minimal) - toutes les données de session sont stockées sur le serveur (habituellement dans une base de données à laquelle le client n'a pas d'accès direct) lié à cet identificateur. (fr)
|
| rdfs:comment
|
- Ein Sitzungsbezeichner (auch Sitzungskennung, Sitzungsnummer oder Sitzungs-ID, englisch session identifier, kurz englisch session ID) wird bei Anwendungen auf zustandslosen Protokollen als Identifikationsmerkmal verwendet, um mehrere zusammengehörige Anfragen eines Benutzers zu erkennen und einer Sitzung zuzuordnen. Insbesondere bei Webanwendungen finden Session IDs breite Verwendung. (de)
- En el ámbito de la informática, un identificador de sesión o ID de sesión (del inglés: session ID) es una herramienta que se utiliza en la comunicación de red para identificar la sesión de un usuario en un sitio web. En cuanto a la estructura, es una secuencia numérica alojada en el servidor web. Los identificadores de sesión se hacen necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado como el HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor desea reunir una serie de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Esto suele implicar una comunicación continua en la que el cliente solicita varias páginas web y el servidor se las devuelve. En tal situación, es vi (es)
- En informatique, un identificateur de session (aussi appelé identifiant de session, ID session ou jeton de session ; en anglais, session identifier, session ID or session token) est une donnée qui est utilisée dans les communications réseau (souvent sur HTTP) pour identifier une session, une série d'échanges de messages connexes. (fr)
- In computer science, a session identifier, session ID or session token is a piece of data that is used in network communications (often over HTTP) to identify a session, a series of related message exchanges. Session identifiers become necessary in cases where the communications infrastructure uses a stateless protocol such as HTTP. For example, a buyer who visits a seller's website wants to collect a number of articles in a virtual shopping cart and then finalize the shopping by going to the site's checkout page. This typically involves an ongoing communication where several webpages are requested by the client and sent back to them by the server. In such a situation, it is vital to keep track of the current state of the shopper's cart, and a session ID is one way to achieve that goal. (en)
|
