Oturum Kimliği Nedir?

Oturum Kimliği Nedir?

Oturum kimliği, sunucunun istekte bulunan istemcilere atadığı benzersiz bir numaradır. Kimlik, tanımlayıcı anlamına gelir. Ayrıca kullanıcı etkinliğini belirlemek ve izlemek için kullanılır. Bu benzersiz kimlik; bir sayı kodu, sayısal kod veya Alfa sayısal kod olabilir. Bilgisayar biliminde; oturum, sunucu ve istemci arasında geçici bir bağlantıdır.

Kısa sürüm SID (oturum kimliği), örneğin web sunucuları bağlamında da yaygın olarak kullanılır.

Arama motoru optimizasyonu (SEO) alanında; oturum kimlikleri, belirli koşullar altında yinelenen içerikle ilgili sorunlara neden olabileceğinden ilgili bir konudur.

Oturum Kimliklerini İletme Yöntemleri

Cookies

Bir kullanıcı çevrimiçi mağaza gibi bir web sitesini ziyaret ederse, mağaza sunucusu tam olarak o ziyaretçiye ve o oturuma atanan bireysel bir oturum kimliği oluşturur. Bu oturum kimliği, ziyaretçinin bilgisayarında yerel olarak bir tanımlama bilgisinde (“oturum tanımlama bilgisi” olarak da adlandırılır) saklanır. Oturum sırasında sunucuya yeni bir istek gönderirse, istekle birlikte atanan kimliğe sahip çerez iletilir. Böylece sunucu iletişimi ilgili kullanıcıya atayabilir.

Bu ziyaretçi; mağazadaki diğer ürünlere bakmak veya hatta mağazayı kapatmak için alışveriş sepetinden çıkarsa, çerez oturumun kaybolmamasını sağlar. Bu şekilde, kullanıcı siteye döner dönmez alışveriş sepeti geri yüklenebilir.

Alışveriş sepetindeki ürünler oturum kimliğine atanır ve oturum çerezinde saklanır. Sunucuya yapılan her istek ve kullanıcıya verilen her yanıta tam olarak bu oturum kimliği eşlik etmelidir. Aksi takdirde, bir sonraki istemci isteğine yeni bir kimlik atanır ve eski oturum kaybolur.

URL Parametresi

Kullanıcı; örneğin “çerezleri devre dışı bırak” işlevini kullanarak çerezlerin depolanmasını önceden devre dışı bırakırsa, oturum kimliği, mağaza sayfasının URL’sine bir parametre eki olarak sunucudan tarayıcıya aktarılabilir. Bu parametre, bir sunucunun oturumları tanımasına ve oluşturmasına olanak tanır; bu, alışveriş sepetleri veya benzerleri gibi bilgilerin oturumla bağlantılı olduklarında tekrar alınabileceği anlamına gelir.

Parametre olarak eklenen oturum kimliğine sahip bir URL örneği:

https://www.example.com/index.php?sid=123454321abcde-54321dcba

Web programlama dili PHP bu bağlantıyı tanımlayabilir ve atayabilir. Böylece bu oturuma bağlı alışveriş sepeti tekrar alınabilir.

Gizli Form Alanı

Kullanıcı davranışını izlemenin bir başka biçimi de kullanıcının göremediği veya değiştiremeyeceği verilerin sunucuya gönderilmesine izin veren Gizli Form Alanıdır. Örneğin; gizli bir form alanı, hangi veritabanı girişinin güncelleneceği hakkında bilgi iletebilir. Bu yöntem, oturum kimliklerini tarayıcıdan sunucuya iletmek için de kullanılabilir.

Oturum Kimliği Nedir?

Oturum Kimliği ve SEO

Oturum kimliklerini iletmek için URL parametrelerinin kullanılması, Google’ın ortaya çıkan URL’leri bulup dizine ekleyebilmesi nedeniyle yinelenen içeriğe yol açabilir. Farklı kullanıcılar aynı ürün veya kategori sayfasına erişirse, URL’nin farklı parametre eklerini oluşturur. Ancak aynı içeriğe ulaşırsa, Google’ın bu içeriği yinelenen içerik olarak sınıflandırması riski vardır. Bunun SEO için akılda tutulması önemlidir. Bununla birlikte Google, söz konusu web sitesini aktif olarak daha düşük sıralamaz. İlgili alt sayfanın alaka düzeyi, farklı oturum kimliklerine sahip çok sayıda URL arasında dağıtılır. Bu da web sitesinin Google’daki sıralamasını olumsuz etkileyebilir.

SEO açısından bakıldığında, oturum kimliklerinin URL parametreleri aracılığıyla iletilmesi sorunlu olabilir ve bundan kaçınılmalıdır. Bu mümkün değilse, kurallı bir etiket kullanılarak sorun çözülebilir. Bu şekilde, Google’a oturum kimliği olmayan URL’nin dizine eklenmesi amaçlanan orijinal kaynak olduğu, oturum kimliğine sahip URL’lerin dizine eklenmediği bildirilir.

Oturum kimlikleri zorunlu olarak görülmemeli ve yalnızca site ziyaretçisi ve/veya site operatörü için faydalıysa kullanılmalıdır. Bu, e-ticaret kapsamının çok ötesine geçmektedir.

Oturum Çerezi ve GDPR

Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018’den beri AB’de yürürlüktedir. GDPR’nin 6. Maddesi; çerezin sorumlu kişinin veya üçüncü bir tarafın meşru çıkarlarını korumak için gerekli olması durumunda, çerezlerin kullanımına önceden izin verilmesinin gerekli olmadığını belirtir. Oturum çerezlerini de bu şekilde sınıflandırmak mümkündür. Bu nedenle, oturum çerezlerinin kullanımı gizlilik politikasında belirtilmelidir.

Güvenlik

Oturum kimliklerinin kullanımı nispeten güvenli kabul edilir. Ancak, tarayıcıda saklanan oturum kimliklerini değiştirerek üçüncü bir kullanıcının oturum kimliğini almak teorik olarak mümkündür. Bireysel oturum kimlikleri oluşturan sunucu, sıralı veya tahmin edilmesi kolay olmayan yeterince geniş bir kod yelpazesinden yararlanıyorsa, bu pek olası değildir. Bunun dışında, AB’deki çevrimiçi mağazalar genellikle ek bir güvenlik düzeyi sağlayan SSL şifrelemesi kullanır. Bu nedenle bir eşleşme pek olası değildir.

Kötü amaçlı kod kasıtlı olarak uygulandığında durum farklıdır. Bir saldırgan; Siteler Arası Komut Dosyası Oluşturma (XSS) aracılığıyla bu tür bir kodu bir web mağazası sistemine ekler ve bir kullanıcı kodu web sitesi aracılığıyla yürütürse, kimlik iletilebilir ve tüm oturum ele geçirilebilir. Yani yeniden yönlendirmek mümkün olur. Saldırgan böylece belirli müşteri verilerine erişebilir ve karşılığında kullanıcı adına bir sipariş verebilir.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir