| Nome do Elemento | Descrição |
|---|
Não activado | Desactiva o estado da sessão. |
Em curso | Armazena dados do estado da sessão para uma aplicação de código gerido no processo de trabalho onde a aplicação é executada. Esta é a predefinição. |
Personalizado | Configura o IIS para utilizar um fornecedor personalizado para processar o estado da sessão das aplicações ASP.NET. |
Servidor de Estado | Activa o serviço de estado do Windows Aspnet_state.exe e armazena o estado da sessão fora do processo de trabalho onde a aplicação é executada. A vantagem desta configuração é que o estado da sessão é preservado ao reciclar o processo de trabalho da aplicação. Recomenda-se a utilização de um servidor de estado para aplicações Web de média dimensão. As definições a configurar são: - Cadeia de Ligação - define a cadeia de ligação utilizada para estabelecer ligação ao servidor de estado.
- Limite de tempo (em segundos) - define o tempo, em segundos, que a ligação será mantida. A predefinição é 10 segundos.
 | Importante | | O serviço de estado do Windows (Aspnet_state.exe) tem de estar a ser executado para que o estado de sessão fora do processo surta efeito. Por predefinição, este serviço é instalado quando o ASP.NET é instalado e configurado para início manual. É necessário alterar o comportamento de início para Automático. |
|
Servidor SQL | Configura o IIS para utilizar uma base de dados de SQL Server para armazenar os dados da sessão de estado, em vez de os armazenar no processo de trabalho onde a aplicação é executada. A vantagem desta configuração é que o estado da sessão é preservado ao reciclar o processo de trabalho da aplicação, ou se o serviço de estado do Windows ou o servidor Web estiver em baixo. As definições a configurar são: - Cadeia de Ligação - define a cadeia de ligação utilizada para estabelecer ligação ao servidor de estado.
- Limite de tempo (em segundos) - define o tempo, em segundos, que a ligação será mantida. A predefinição é 10 segundos.
| Importante | | Antes de configurar um SQL Server para estado da sessão, terá de executar o script InstallSqlState.sql no servidor. Por predefinição, este script está armazenado em raizsistema\Microsoft.NET\Framework\V2.0.50727. |
|
Activar base de dados personalizada | Activa uma base de dados personalizada de SQL Server para armazenar dados do estado da sessão. |
Modo | Define como os cookies são utilizados para armazenar dados do estado da sessão. As opções são: - Detectar automaticamente - utiliza cookies se o browser suportar cookies; caso contrário, não se utilizam cookies. No caso dos browser de computadores de secretária que se sabe suportarem cookies, o ASP.NET tenta utilizar cookies se o suporte de cookies estiver activado no browser. Quando utiliza o modo de detectar automaticamente os cookies, deverá solicitar que as IDs de sessão expiradas sejam novamente geradas. Isto permite que um servidor Web expire e volte a gerar tokens, o que dá menos tempo a um potencial atacante para capturar um cookie e obter acesso ao conteúdo do servidor Web. Deverá igualmente considerar a alteração do tempo limite para um valor inferior à predefinição de 20 minutos.
- Utilizar Cookies - associa informações de sessão a informações de cliente para a duração de uma ligação de utilizador a um Web site. Os cookies são transmitidos juntamente com todos os pedidos entre um cliente e um servidor Web num cabeçalho de HTTP. A utilização de cookies é um modo de controlar o estado da sessão do que qualquer outro método que não utilize cookies, porque os cookies não requerem qualquer redireccionamento. Adicionalmente, os cookies permitem que os utilizadores marquem páginas Web e retêm o estado se um utilizador sair de um site para visitar outro e, em seguida, regressar ao mesmo site.
 | Nota | | Deverá considerar a alteração do tempo limite para um valor inferior à predefinição de 20 minutos, para que um potencial atacante tenha menos tempo para capturar um cookie e obter acesso ao conteúdo do servidor Web. |
- Utilizar Perfil do Dispositivo - utiliza cookies se o perfil do dispositivo suportar cookies; caso contrário, não se utilizam cookies. Se o perfil do dispositivo indicar suporte para cookies, estes serão utilizados independentemente de o utilizador ter desactivado o suporte de cookies. Quando utiliza o modo Utilizar Perfil do Dispositivo de cookies, deverá solicitar que as IDs de sessão expiradas sejam novamente geradas. Isto permite que um servidor Web expire e volte a gerar tokens, o que dá menos tempo a um potencial atacante para capturar um cookie e obter acesso ao conteúdo do servidor Web. Deverá igualmente considerar a alteração do tempo limite para um valor inferior à predefinição de 20 minutos.
- Utilizar URI - incorpora a ID da sessão como cadeia de consulta no pedido de Uniform Resource Identifier (URI) e, em seguida, o URI é redireccionado para o URL originalmente solicitado. O pedido de URI alterado é utilizado apenas durante a sessão, pelo que não é necessário qualquer cookie. Quando utiliza um URI, deverá solicitar que as IDs de sessão expiradas sejam novamente geradas. Isto permite que um servidor Web expire e volte a gerar tokens, o que dá menos tempo a um potencial atacante para capturar um cookie e obter acesso ao conteúdo do servidor Web.
|
Nome | Define um nome para o cookie. A predefinição é ASP.NET_SessionID. |
Limite de tempo (em minutos) | Define o tempo, em minutos, que um cookie persistirá. A predefinição é 20 minutos. |
Regenerar ID de sessão expirada | Diz ao IIS para rejeitar e voltar a emitir IDs de sessão que não tenham sessões correspondentes activas na base de dados. Por predefinição, esta funcionalidade é suportada apenas para IDs de sessão sem cookies, mas esta funcionalidade pode ser ampliada para gerir IDs de sessão de cookies/arbitrárias, implementando um gestor de IDs de sessão personalizada. |
Utilizar identidade de alojamento para representação | Activa autenticação do Windows e a identidade de processo anfitrião (identidade do serviço Windows ou ASP.NET) para ligações remotas. |