Español | English
rss facebook linkedin Twitter

Seguridad en las sesiones de las aplicaciones Web I

Hoy comenzamos una nueva serie de artículos sobre la gestión de sesiones en las aplicaciones Web, en este primer artículo haremos un repaso de los principales conceptos del tema.

Definiciones iniciales


El manejo de sesiones Web es una técnica o herramienta que permite vincular información a un usuario en concreto durante el proceso de visita a un sitio Web.

Esta herramienta se utiliza habitualmente para labores de autenticación y seguimiento de la actividad de los usuarios en aplicaciones que tienen partes privadas para las que se necesita algún tipo de control de acceso.

El manejo de sesión facilita y unifica las tareas de control y supervisión de accesos, pero si presenta alguna vulnerabilidad puede dar al traste con la seguridad de toda la aplicación.


Cookies y Sesiones:

Una cookie es un fragmento de información que se almacena en el navegador del visitante de una página, a petición del servidor de la misma. Esta información puede ser luego recuperada por el servidor en posteriores visitas para que se pueda conservar información entre una página y otra ya que el protocolo HTTP es incapaz de mantener información por sí mismo.


Los usos más frecuentes de las cookies son:

  • Mantener opciones de visualización.
  • Almacenar variables.
  • Realizar un seguimiento de la actividad de los usuarios.
  • Autenticación.

Una sesión web consiste en un array de datos que se mantiene en el servidor. Cada sesión viene identificada por un código único que se utiliza para hacer referencia a la misma. (Identificador de sesión)

En la sesión se pueden almacenar una serie de variables que serán conservadas hasta que se produzca su caducidad o sea explícitamente borrada

Cookies de Sesión:

Cuando una cookie se usa para autenticación normalmente se hace mediante la utilización de sesiones. En la cookie se almacenara el identificador de una sesión que será asociada al usuario que accede a la aplicación.


Para que una cookie de sesión se considere segura debe cumplir una serie de condiciones:

  • La única información que debe contener será el identificador de la sesión asociada. El resto de variables se almacenara internamente en el array que se encuentra en el servidor.
  • El identificador de sesión debe ser único, aleatorio y no predecible. Con el fin de evitar suplantaciones de identidad.
  • Las variables almacenadas en la sesión, deben permanecer lo más protegidas posible del exterior. El usuario no debe conocer su nombre ni su valor, y tampoco podrá modificarlas a voluntad.
  • Cuando el usuario ha terminado su actividad o ha transcurrido un periodo de tiempo prudencial, la sesión debe borrarse.
Hasta la próxima

Ramon Pinuaga
S21sec  Auditoría

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login