Nombre de elemento | Descripción |
---|
No habilitado | Deshabilita el estado de la sesión. |
En proceso | Almacena los datos del estado de la sesión para una aplicación de código administrado en el proceso de trabajo donde se ejecuta la aplicación. Este es el valor predeterminado. |
Personalizada | Configura IIS para utilizar un proveedor personalizado con el fin de controlar el estado de la sesión para las aplicaciones ASP.NET. |
Servidor de estado | Habilita el servicio de estado Aspnet_state.exe de Windows y almacena el estado de la sesión fuera del proceso de trabajo donde se ejecuta la aplicación. La ventaja de esta configuración es que el estado de la sesión se conserva cuando se recicla el proceso de trabajo de la aplicación. Se recomienda el uso de un servidor de estado para aplicaciones web medias. Los valores que se han de configurar son: - Cadena de conexión: Establece la cadena de conexión que se utiliza para establecer conexión con el servidor de estado.
- Tiempo de espera (en segundos): establece el tiempo, en segundos, que se mantendrá la conexión. El valor predeterminado es 10 segundos.
| Importante | | Para que el estado de la sesión fuera de proceso surta efecto, se debe ejecutar el servicio de estado de Windows (Aspnet_state.exe). De forma predeterminada, este servicio se instala cuando se instala ASP.NET y se configura para inicio manual. Debe cambiar el comportamiento del inicio a Automático. |
|
Servidor SQL | Configura IIS de modo que se utilice una base de datos de SQL Server para almacenar los datos del estado de la sesión en lugar de almacenarlos en el proceso de trabajo donde se ejecuta la aplicación. La ventaja de esta configuración es que el estado de la sesión se conserva cuando el proceso de trabajo de la aplicación se recicla, o si el servicio de estado de Windows o el servidor web dejan de funcionar. Los valores que se han de configurar son: - Cadena de conexión: Establece la cadena de conexión que se utiliza para establecer conexión con el servidor de estado.
- Tiempo de espera (en segundos): establece el tiempo, en segundos, que se mantendrá la conexión. El valor predeterminado es 10 segundos.
| Importante | | Antes de configurar un servidor SQL Server para el estado de la sesión, debe ejecutar el script InstallSqlState.sql en el servidor. De forma predeterminada, este script se almacena en systemroot\Microsoft.NET\Framework\V2.0.50727. |
|
Habilitar base de datos personalizada | Habilita una base de datos de SQL Server personalizada para almacenar los datos del estado de la sesión. |
Modo | Define cómo se utilizan cookies para almacenar los datos del estado de la sesión. Las opciones son: - Detección automática: Utiliza cookies si el explorador las admite; de lo contrario, no se utilizan. En exploradores de escritorio que admiten cookies, ASP.NET intenta utilizarlas cuando la compatibilidad con cookies está habilitada en el explorador. Cuando se utiliza el modo Detección automática con cookies, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web. También debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos.
- Usar cookies: Asocia información de la sesión a información del cliente en el transcurso de la conexión de un usuario a un sitio web. Las cookies se pasan junto con todas las solicitudes entre un cliente y un servidor web en un encabezado HTTP. El uso de cookies es un método de seguimiento del estado de la sesión más eficaz que cualquiera de los métodos que no utilizan cookies, porque las cookies no requieren redirección. Además, las cookies permiten a los usuarios marcar las páginas web y mantienen el estado si un usuario sale de un sitio para visitar otro y, a continuación, regresa al sitio original.
| Nota | | Debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos; de este modo, un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del sitio web. |
- Usar perfil del dispositivo: Utiliza cookies si el perfil del dispositivo las admite; de lo contrario, no se utilizan cookies. Si el perfil del dispositivo indica la admisión de cookies, estas se utilizarán con independencia de que el usuario tenga deshabilitada la compatibilidad con cookies. Cuando se utiliza el modo Usar perfil del dispositivo con cookies, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web. También debe considerar la opción de cambiar el valor del tiempo de espera a un valor menor que el predeterminado de 20 minutos.
- Usar URI: Incrusta el identificador de sesión como una cadena de consulta en la solicitud de Identificador uniforme de recursos (URI) y, a continuación, se redirige el URI a la dirección URL solicitada originalmente. La solicitud de URI cambiada se utiliza en el transcurso de la sesión, por lo que no se necesita ninguna cookie. Cuando se utiliza un URI, se debe requerir que se regeneren los identificadores de sesión expirada. De este modo, se permite que un servidor web expire y regenere testigos, con lo que un atacante potencial dispone de menos tiempo para capturar una cookie y obtener acceso al contenido del servidor web.
|
Nombre | Establece un nombre para la cookie. El valor predeterminado es ASP.NET_SessionID. |
Tiempo de espera (en minutos) | Establece el tiempo, en minutos, que se mantendrá una cookie. El valor predeterminado es 20 minutos. |
Regenerar Id. de sesión expirada | Notifica a IIS que rechace y vuelva a emitir los identificadores de sesión que no tengan activas las sesiones correspondientes en la base de datos. De forma predeterminada, esta característica sólo se admite para los identificadores de sesión sin cookies, pero se puede ampliar para administrar identificadores de sesión arbitraria o con cookies mediante la implementación de un administrador de identificador de sesión personalizado. |
Usar identidad de proceso de host para suplantación | Habilita la autenticación de Windows y la identidad de proceso de host (ASP.NET o una identidad de servicio de Windows) para las conexiones remotas. |