Gestión de sesiones web
Esta serie de artículos publicada por INTECO sobre la gestión segura de sesiones web, de la que dependen un gran número de los servicios de Internet, comienza describiendo qué es una sesión y el principal medio por el que se consigue: los identificadores de sesión.
Los portales web reconocen las acciones que el usuario ha realizado anteriormente: si se ha registrado, qué elementos ha visitado, las compras añadidas a la cesta, etc. Y según está información modifican su contenido o funcionalidad. Para conseguir esto, establecen una sesión web entre el servidor y navegador web del usuario.
Si HTTP, el protocolo con el que se interectúa con las páginas web, no está orientado a conexión (se abre en nueva ventana), ya que por sí mismo no proporciona manera de almacenar las acciones que el navegante realiza en una página web, ¿cómo es posible?.
Aunque HTTPS sí está orientado a conexión la información que almacena sólo es relativa a la gestión de la conexión segura.
Identificadores de sesión.
Para mantener sesiones web (se abre en nueva ventana) el navegador y el servidor web comparten un identificador único (se abre en nueva ventana) que el navegador web incluye en cada petición HTTP o HTTPS al portal (generalmente mediante cookies aunque existen otros métodos). De este modo, por medio de este identificador, el servidor web puede reconocer que la petición que recibe pertenece a un determinada sesión, almacenar la información de esta petición que le interese y responder a ella según la información almacenada anteriormente.
Normalmente, al autenticarse un usuario en una página web o portal, se incluye en la información de sesión el identificador del usuario; de este modo, en peticiones HTTP posteriores el portal reconoce a través del identificador de sesión a qué usuario corresponde esa petición y puede asociarle las peticiones realizadas y personalizar su contenido según él. Del mismo modo, al salir un usuario de un portal o aplicación web se debe cerrar la sesión web.
Los portales web reconocen las acciones que el usuario ha realizado anteriormente: si se ha registrado, qué elementos ha visitado, las compras añadidas a la cesta, etc. Y según está información modifican su contenido o funcionalidad. Para conseguir esto, establecen una sesión web entre el servidor y navegador web del usuario.
Si HTTP, el protocolo con el que se interectúa con las páginas web, no está orientado a conexión (se abre en nueva ventana), ya que por sí mismo no proporciona manera de almacenar las acciones que el navegante realiza en una página web, ¿cómo es posible?.
Aunque HTTPS sí está orientado a conexión la información que almacena sólo es relativa a la gestión de la conexión segura.
Identificadores de sesión.
Para mantener sesiones web (se abre en nueva ventana) el navegador y el servidor web comparten un identificador único (se abre en nueva ventana) que el navegador web incluye en cada petición HTTP o HTTPS al portal (generalmente mediante cookies aunque existen otros métodos). De este modo, por medio de este identificador, el servidor web puede reconocer que la petición que recibe pertenece a un determinada sesión, almacenar la información de esta petición que le interese y responder a ella según la información almacenada anteriormente.
Normalmente, al autenticarse un usuario en una página web o portal, se incluye en la información de sesión el identificador del usuario; de este modo, en peticiones HTTP posteriores el portal reconoce a través del identificador de sesión a qué usuario corresponde esa petición y puede asociarle las peticiones realizadas y personalizar su contenido según él. Del mismo modo, al salir un usuario de un portal o aplicación web se debe cerrar la sesión web.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!