Utilice la página de características Estado de la sesión para configurar el comportamiento de la información mantenida en las sesiones del explorador.

Lista de elementos de la interfaz de usuario

En las tablas siguientes se describen los elementos de la interfaz de usuario que están disponibles en la página de características y en el panel Acciones.

Elementos de la página de características

Nombre de elementoDescripción

No habilitado

Deshabilita el estado de la sesión.

En proceso

Almacena los datos del estado de la sesión para una aplicación de código administrado en el proceso de trabajo donde se ejecuta la aplicación. Este es el valor predeterminado.

Personalizada

Configura IIS para utilizar un proveedor personalizado con el fin de controlar el estado de la sesión para las aplicaciones ASP.NET.

Servidor de estado

Habilita el servicio de estado Aspnet_state.exe de Windows y almacena el estado de la sesión fuera del proceso de trabajo donde se ejecuta la aplicación. La ventaja de esta configuración es que el estado de la sesión se conserva cuando se recicla el proceso de trabajo de la aplicación. Se recomienda el uso de un servidor de estado para aplicaciones web medias. Los valores que se han de configurar son:

  • Cadena de conexión: Establece la cadena de conexión que se utiliza para establecer conexión con el servidor de estado.

  • Tiempo de espera (en segundos): establece el tiempo, en segundos, que se mantendrá la conexión. El valor predeterminado es 10 segundos.

Importante

Para que el estado de la sesión fuera de proceso surta efecto, se debe ejecutar el servicio de estado de Windows (Aspnet_state.exe). De forma predeterminada, este servicio se instala cuando se instala ASP.NET y se configura para inicio manual. Debe cambiar el comportamiento del inicio a Automático.

Servidor SQL

Configura IIS de modo que se utilice una base de datos de SQL Server para almacenar los datos del estado de la sesión en lugar de almacenarlos en el proceso de trabajo donde se ejecuta la aplicación. La ventaja de esta configuración es que el estado de la sesión se conserva cuando el proceso de trabajo de la aplicación se recicla, o si el servicio de estado de Windows o el servidor web dejan de funcionar. Los valores que se han de configurar son:

  • Cadena de conexión: Establece la cadena de conexión que se utiliza para establecer conexión con el servidor de estado.

  • Tiempo de espera (en segundos): establece el tiempo, en segundos, que se mantendrá la conexión. El valor predeterminado es 10 segundos.

Importante

Antes de configurar un servidor SQL Server para el estado de la sesión, debe ejecutar el script InstallSqlState.sql en el servidor. De forma predeterminada, este script se almacena en systemroot\Microsoft.NET\Framework\V2.0.50727.

Habilitar base de datos personalizada

Habilita una base de datos de SQL Server personalizada para almacenar los datos del estado de la sesión.

Modo

Define cómo se utilizan cookies para almacenar los datos del estado de la sesión. Las opciones son:

  • Detección automática: Utiliza cookies si el explorador las admite; de lo contrario, no se utilizan. En exploradores de escritorio que admiten cookies, ASP.NET intenta utilizarlas cuando la compatibilidad con cookies está habilitada en el explorador. Cuando se utiliza el modo Detección automática con cookies, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web. También debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos.

  • Usar cookies: Asocia información de la sesión a información del cliente en el transcurso de la conexión de un usuario a un sitio web. Las cookies se pasan junto con todas las solicitudes entre un cliente y un servidor web en un encabezado HTTP. El uso de cookies es un método de seguimiento del estado de la sesión más eficaz que cualquiera de los métodos que no utilizan cookies, porque las cookies no requieren redirección. Además, las cookies permiten a los usuarios marcar las páginas web y mantienen el estado si un usuario sale de un sitio para visitar otro y, a continuación, regresa al sitio original.

Nota

Debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos; de este modo, un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del sitio web.

  • Usar perfil del dispositivo: Utiliza cookies si el perfil del dispositivo las admite; de lo contrario, no se utilizan cookies. Si el perfil del dispositivo indica la admisión de cookies, estas se utilizarán con independencia de que el usuario tenga deshabilitada la compatibilidad con cookies. Cuando se utiliza el modo Usar perfil del dispositivo con cookies, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web. También debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos.

  • Usar URI: Incrusta el identificador de sesión como una cadena de consulta en la solicitud de Identificador uniforme de recursos (URI) y, a continuación, se redirige el URI a la dirección URL solicitada originalmente. La solicitud de URI cambiada se utiliza en el transcurso de la sesión, por lo que no se necesita ninguna cookie. Cuando se utiliza un URI, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web.

Nombre

Establece un nombre para la cookie. El valor predeterminado es ASP.NET_SessionID.

Tiempo de espera (en minutos)

Establece el tiempo, en minutos, que se mantendrá una cookie. El valor predeterminado es 20 minutos.

Regenerar Id. de sesión expirada

Notifica a IIS que rechace y vuelva a emitir los identificadores de sesión que no tengan activas las sesiones correspondientes en la base de datos. De forma predeterminada, esta característica sólo se admite para los identificadores de sesión sin cookies, pero se puede ampliar para administrar identificadores de sesión arbitraria o con cookies mediante la implementación de un administrador de identificador de sesión personalizado.

Usar identidad de proceso de host para suplantación

Habilita la autenticación de Windows y la identidad de proceso de host (ASP.NET o una identidad de servicio de Windows) para las conexiones remotas.

Elementos del panel Acciones

Nombre de elementoDescripción

Aplicar

Guarda los cambios realizados en la página de características.

Cancelar

Cancela los cambios realizados en la página de características.

Vea también


Tabla de contenido