Vad är ett session-ID?
En session-ID är ett sätt på vilket ett datorsystem, vanligtvis en server, kan identifiera och spåra åtgärderna för en enda användare under en viss session. Dessa används ganska omfattande på Internet av en mängd olika webbplatser, och olika metoder kan användas, till exempel kakor eller enhetliga resurslokaler (URL: er) specifikt avsedda för att spåra dem. Genom att använda dessa identifierare kan ett system lättare spåra de användare som för närvarande är anslutna till systemet och ge information relevant för varje användare. Ett session-ID genereras vanligtvis i början av en session och är unikt för en given användare under den sessionen.
Även kallad en sessionidentifierare är ett session-ID en numerisk eller alfanumerisk kod som ges till en användare ansluten till ett datorsystem, t.ex. en webbplatsserver. Denna kod används sedan under en session för att identifiera den användaren och låta honom eller henne ha information som är specifik för hans eller hennes användning. Till exempel kan en köpwebbplats tillåta en användare att lägga till objekt som han eller hon är intresserad av att köpa till en virtuell "kundvagn." Den här kundvagnen skulle förlita sig på användarens session-ID för att spåra objekt som han eller hon lägger till, och hålla varje användares vagnar åtskilda.
Genom design genereras vanligtvis ett session-ID när en användare först besöker en webbplats, och detta kan göras på ett antal olika sätt. Detta görs ofta genom en slumptalsgenerator för att mer effektivt undvika hackare som kan försöka falskt använda någon annans identifierare. Hackare eller andra användare som försöker starta någon form av attack på ett system kan använda en metod som kallas "session prediction" för att försöka bestämma identifieraren för någon annan, och sedan utföra "session kapning" för att använda identifieraren och verkar som en annan användare att det systemet. Mer specifik information kan användas för att generera ett session-ID, till exempel datum eller tid då en användare börjar en session, vilket säkerställer att identifieraren förblir unik för olika användare.
Ett session-ID är vanligtvis bara giltigt för en enda session att använda, men detta kan definieras på olika sätt på olika system. I allmänhet börjar en session när någon navigerar till en webbsida och slutar när användaren lämnar sidan. Vissa system är utformade med en time-out-funktion som avslutar en session efter att en viss tidsperiod av inaktivitet har passerat, ofta cirka 10 minuter. Andra system känner till och med igen ett session-ID efter att användaren navigerar bort från webbsidan och sedan återvänder, så länge användaren inte har stängt sitt webbläsarprogram.