F5-Glossar

Sitzungsverwaltung

Was ist Sitzungsverwaltung?

Unter Sitzungsverwaltung versteht man den Prozess der Identifizierung von Kommunikationspartnern und der Verfolgung ihres Status während Client-Server-Interaktionen. Eine Sitzung ist die hergestellte Verbindung zwischen einem Client und einem Server, die den Datenaustausch mit der Application ermöglicht. Die Sitzungsverwaltung wird häufig in der HTTP-Kommunikation und der Entwicklung von Application verwendet.

Da HTTP ein zustandsloses Protokoll ist (es behält den Kommunikationsstatus mit dem Client nicht bei), würden identische Anfragen eines Webbrowsers immer dieselben Antworten von der Website hervorrufen. Dadurch ist die Abwicklung individueller benutzerspezifischer Aktionen oder mehrseitiger Transaktionen nicht möglich. Um dies zu beheben, ist es notwendig, den zugreifenden Benutzer zu identifizieren und seinen Status (die Aktionen, die er bisher ausgeführt hat) zu verfolgen. Die Sitzungsverwaltung ist der Mechanismus, der diesen Prozess erleichtert.

Zu den gängigen Methoden zum Verwalten von Sitzungen in Applications gehören:

  • Verwendung von Cookies: Die gängigste Methode, bei der der Webserver ein „Cookie“ an den Browser sendet, der es lokal speichert. Bei nachfolgenden Anfragen schließt der Browser das Cookie in die Anfrage ein, sodass der Server die Sitzungsinformationen abrufen kann. Bei Websites mit Schwachstellen wie Cross-Site Scripting (XSS) besteht jedoch die Gefahr, dass diese Cookies einem unberechtigter Zugriff ausgesetzt sind.
  • Einbetten von Sitzungs-IDs in URLs: Wird oft als Alternative verwendet, wenn Cookies nicht genutzt werden können. An die URL wird als Parameter eine Session-ID angehängt (z. B. http://f5.com/index.html?sid=1). Dieser Ansatz ist jedoch weniger sicher, da Benutzer die Sitzungs-ID direkt in der Adressleiste sehen und ändern können.
  • Einbetten von Sitzungs-IDs in Formulare: Eine sicherere Methode, bei der Sitzungs-IDs in Formulare eingebettet sind. Dies erfordert jedoch einen höheren Aufwand bei der Entwicklung von Application und bringt Herausforderungen mit sich, wie etwa die eingeschränkte Verwendung von <a>-Tags, eine fehlerhafte Funktionalität der Zurück-Schaltfläche des Browsers und eine insgesamt höhere Komplexität. Dieser Ansatz ist normalerweise auf kritische Formen beschränkt.

Die praktischste Methode zur Sitzungsverwaltung ist die Verwendung von Cookies in Verbindung mit Maßnahmen zur Verhinderung von XSS-Schwachstellen. F5 BIG-IP vereinfacht die Behebung von XSS-bezogenen Problemen und macht die cookiebasierte Sitzungsverwaltung sicherer und effektiver.