Un ID di sessione è un modo in cui un sistema informatico, in genere un server, è in grado di identificare e tenere traccia delle azioni di un singolo utente durante una particolare sessione. Questi sono ampiamente utilizzati su Internet da una varietà di siti Web e possono essere utilizzati vari metodi, come i cookie o gli URL (Uniform Resource Locator) specificamente destinati al loro monitoraggio. Utilizzando questi identificatori, un sistema è in grado di tracciare più facilmente gli utenti attualmente connessi al sistema e fornire informazioni rilevanti per ciascun utente. Un ID di sessione viene in genere generato all’inizio di una sessione ed è univoco per un determinato utente durante quella sessione.
Chiamato anche identificatore di sessione, un ID di sessione è un codice numerico o alfanumerico assegnato a un utente connesso a un sistema informatico, come un server di un sito web. Questo codice viene quindi utilizzato durante una sessione per identificare quell’utente e consentirgli di avere informazioni specifiche per il suo utilizzo. Ad esempio, un sito Web di acquisti potrebbe consentire a un utente di aggiungere articoli che è interessato ad acquistare a un “carrello della spesa” virtuale. Questo carrello degli acquisti farebbe affidamento sull’ID di sessione dell’utente per tenere traccia degli articoli che aggiunge e mantenere separati i carrelli di ciascun utente.
Per impostazione predefinita, un ID di sessione viene in genere generato quando un utente visita per la prima volta un sito Web e ciò può essere fatto in diversi modi. Questo viene spesso fatto tramite un generatore di numeri casuali per evitare in modo più efficace gli hacker che potrebbero tentare di utilizzare falsamente l’identificatore di qualcun altro. Gli hacker o altri utenti che tentano di lanciare una qualche forma di attacco su un sistema possono utilizzare un metodo chiamato “previsione della sessione” per cercare di determinare l’identificatore di qualcun altro, quindi eseguire “dirottamento della sessione” per utilizzare l’identificatore e apparire come un altro utente per quel sistema. Tuttavia, è possibile utilizzare informazioni più specifiche per generare un ID di sessione, ad esempio la data o l’ora in cui un utente inizia una sessione, garantendo che l’identificatore rimanga univoco per i diversi utenti.
Un ID di sessione è in genere valido solo per una singola sessione di utilizzo, sebbene questo possa essere definito in modi diversi su sistemi diversi. In generale, una sessione inizia quando qualcuno accede a una pagina Web e termina quando l’utente lascia la pagina. Alcuni sistemi sono progettati con una funzione di timeout che terminerà una sessione dopo che è trascorso un determinato periodo di inattività, spesso intorno ai 10 minuti. Altri sistemi riconosceranno anche un ID di sessione dopo che l’utente esce dalla pagina Web e poi ritorna, a condizione che l’utente non abbia chiuso il proprio browser Internet.