Session-Management
Was ist Session-Management?
Session-ManagementDie Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
Nach der Authentifizierung stellt der Server eine Sitzung aus — typischerweise als serverseitige Kennung in einem Cookie oder als signiertes Token wie ein JWT — die der Client bei jeder Anfrage zurückgibt. Gutes Session-Management erzeugt Kennungen mit hoher Entropie, überträgt sie ausschließlich über TLS, setzt die Cookie-Flags Secure, HttpOnly und SameSite, rotiert die Kennung nach dem Login, erzwingt Idle- und Absolute-Timeouts und ermöglicht eine zuverlässige serverseitige Revokation bei Logout, Passwortänderung oder Geräteentzug. Schwachstellen führen direkt zu Session-Hijacking, Session-Fixation, Replay und Broken Authentication. Moderne Anwendungen kombinieren häufig kurzlebige Access-Tokens mit Refresh-Token-Rotation, kontinuierlicher Risikoauswertung (CAEP) und Token-Bindung an das Gerät (DPoP, mTLS).
● Beispiele
- 01
Eine OIDC-Anwendung mit kurzlebigen Access-Tokens und einer Refresh-Token-Rotationsstrategie.
- 02
Eine Banking-Website rotiert das Session-Cookie unmittelbar nach dem Login, um Session-Fixation zu verhindern.
● Häufige Fragen
Was ist Session-Management?
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Session-Management?
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
Wie schützt man sich gegen Session-Management?
Schutzmaßnahmen gegen Session-Management kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Session-Management?
Übliche alternative Bezeichnungen: Sitzungsverwaltung, Web-Session-Management.