Session ID là gì?

ID phiên là một số duy nhất mà máy chủ của trang Web chỉ định cho một người dùng cụ thể trong suốt thời gian truy cập của người dùng đó (phiên). ID phiên có thể được lưu trữ dưới dạng cookie, trường biểu mẫu (form field) hoặc URL . Một số máy chủ Web tạo ID phiên chỉ bằng cách tăng số tĩnh. Tuy nhiên, hầu hết các máy chủ sử dụng các thuật toán liên quan đến các phương pháp phức tạp hơn, chẳng hạn như bao gồm ngày và giờ truy cập cùng với các biến khác do quản trị viên máy chủ xác định.

Mỗi khi người dùng Internet truy cập một trang Web cụ thể, một ID phiên mới sẽ được chỉ định. Việc đóng trình duyệt, sau đó mở lại và truy cập lại vào trang web sẽ tạo ID phiên mới. Tuy nhiên, cùng một ID phiên đôi khi vẫn được duy trì miễn là trình duyệt đang mở, ngay cả khi người dùng rời khỏi trang web được đề cập và quay lại. Trong một số trường hợp, máy chủ Web kết thúc một phiên và gán một ID phiên mới sau một vài phút không hoạt động.

ID phiên, ở dạng thông thường, không cung cấp khả năng duyệt Web an toàn. Các tin tặc lành nghề có thể lấy được ID phiên (một quá trình được gọi là session prediction), sau đó giả dạng người dùng được ủy quyền (authorized user) bằng một hình thức tấn công được gọi là session hijacking.