معرف الجلسة

في علوم الحاسوب ، يُعدّ مُعرّف الجلسة ، أو رمز الجلسة ، جزءًا من البيانات يُستخدم في اتصالات الشبكة (غالبًا عبر بروتوكول HTTPS ) لتحديد الجلسة ، وهي سلسلة من تبادلات الرسائل ذات الصلة. [ 1 ] يصبح استخدام مُعرّفات الجلسات ضروريًا في الحالات التي تستخدم فيها بنية الاتصالات بروتوكولًا غير مُحتفظ بالحالة ، مثل HTTP . على سبيل المثال، يرغب المشتري الذي يزور موقعًا إلكترونيًا لبائع في إضافة عدد من المنتجات إلى سلة تسوق افتراضية، ثم إتمام عملية الشراء بالانتقال إلى صفحة الدفع. يتضمن هذا عادةً اتصالًا مستمرًا حيث يطلب العميل عدة صفحات ويب، ويرسلها الخادم إليه. في مثل هذه الحالة، من الضروري تتبع حالة سلة التسوق الحالية، ويُعدّ مُعرّف الجلسة أحد الوسائل لتحقيق ذلك.

يُمنح مُعرّف الجلسة عادةً للزائر عند زيارته الأولى للموقع. ويختلف عن مُعرّف المستخدم في أن الجلسات عادةً ما تكون قصيرة الأجل (تنتهي صلاحيتها بعد فترة محددة من عدم النشاط، والتي قد تكون دقائق أو ساعات) وقد تصبح غير صالحة بعد تحقيق هدف معين (على سبيل المثال، بمجرد أن يُنهي المشتري طلبه، لا يمكنه استخدام مُعرّف الجلسة نفسه لإضافة المزيد من المنتجات).

بما أن معرّفات الجلسات تُستخدم غالبًا لتحديد هوية المستخدم الذي سجّل دخوله إلى موقع ويب، فقد يستغلها المهاجمون لاختراق الجلسة والحصول على صلاحيات إضافية. عادةً ما يكون معرّف الجلسة سلسلة نصية عشوائية لتقليل احتمالية الحصول على معرّف صالح باستخدام البحث الشامل . تُجري العديد من الخوادم تحققًا إضافيًا من هوية العميل في حال تمكن المهاجم من الحصول على معرّف الجلسة. يُعدّ ربط معرّف الجلسة بعنوان IP الخاص بالعميل إجراءً بسيطًا وفعالًا طالما لا يستطيع المهاجم الاتصال بالخادم من نفس العنوان، ولكنه قد يُسبب مشاكل للعميل إذا كان لديه مسارات متعددة إلى الخادم (مثل اتصالات إنترنت زائدة) وكان عنوان IP الخاص به يخضع لترجمة عناوين الشبكة (NAT ).

تتضمن أمثلة الأسماء التي تستخدمها بعض لغات البرمجة عند تسمية ملفات تعريف الارتباط الخاصة بها JSESSIONID ( Java EE ) وPHPSESSID ( PHP ) و ASPSESSIONID ( Microsoft ASP ).

انظر أيضاً

مراجع