Administración de sesiones

La administración de sesiones es una práctica recomendada para la seguridad de la API que impide la denegación de servicio (DoS). Una sesión representa la cantidad de tiempo que un visitante emplea en el sitio y no está relacionada con el tiempo que los usuarios administradores o clientes inician sesión en sus cuentas.

Una sesión es una secuencia de transacciones de solicitud y respuesta HTTP de red asociadas al mismo usuario. Es una forma de asociar un cliente (administrador) con sus datos cuando accede al servidor. Las sesiones se utilizan para establecer variables, como derechos de acceso y configuración de localización, que se aplican a cada interacción que un usuario tiene con una aplicación web durante la sesión.

Tamaño de sesión

Utilice las siguientes opciones de configuración para limitar el tamaño máximo de sesión para los usuarios administradores y los visitantes de tiendas:

  • Max Session Size in Admin: limitar el tamaño máximo de sesiones en bytes. Use 0 para deshabilitar.
  • Max Session Size in Storefront: limitar el tamaño máximo de sesiones en bytes. Use 0 para deshabilitar.
TIP
Ambas configuraciones se miden en bytes y el valor predeterminado es 256000 bytes (o 256 KB).

Para configurar el tamaño máximo de la sesión:

  1. En la barra lateral Admin, vaya a Stores > Settings>Configuration.

  2. En el panel izquierdo, expanda Advanced y elija System.

  3. Expanda Selector de expansión en la sección Security para obtener acceso a la configuración de la sesión.

    Configuración de sesión {width="600" modal="regular"}

  4. Introduzca nuevos tamaños de sesión en bytes.

    note warning
    WARNING
    Configurar el valor demasiado bajo puede causar problemas. Si establece cualquiera de las opciones debajo del valor predeterminado de 256000 bytes, verá un mensaje de advertencia. Si hace clic en No, el sistema cambia el valor a 256000.
  5. Haga clic en Save Config.

Sesiones de administración

Si supera el tamaño máximo de sesión, aparecerá un mensaje de error y el sistema registrará la restricción de tamaño de sesión en el directorio var/log.

Si pierde el acceso al administrador después de establecer el tamaño de la sesión demasiado bajo, utilice la CLI para restablecer la configuración:

bin/magento config:set system/security/max_session_size_admin 256000

Sesiones de tienda

Si se supera el tamaño máximo de sesión, no se muestra ningún error, pero el sistema registra la restricción de tamaño de sesión en el directorio var/log.

Validación de sesión

Adobe Commerce y Magento Open Source permiten validar variables de sesión como medida de protección contra posibles ataques de fijación de sesión o intentos de envenenar o secuestrar sesiones de usuario. La configuración de validación de sesión determina cómo se validan las variables de sesión durante cada visita al almacén y si el ID de sesión se incluye en la dirección URL del almacén.

Para obtener información técnica, consulte Usar Redis para el almacenamiento de sesión en la Guía de configuración.

Configuración general: validación de sesión web

La validación comprueba que los visitantes son quienes dicen ser comparando el valor de las variables de validación con los datos de sesión almacenados en $_SESSION para el usuario. La validación falla si la información no se transmite según lo esperado y la variable correspondiente está vacía. Según la configuración de validación de sesión, si una variable de sesión falla en el proceso de validación, la sesión del cliente finaliza inmediatamente.

Habilitar todas las variables de validación puede ayudar a evitar ataques, pero también puede afectar al rendimiento del servidor. De forma predeterminada, toda la validación de variables de sesión está deshabilitada. Le recomendamos que experimente con la configuración para encontrar la mejor combinación para su instalación de Adobe Commerce o de Magento Open Source. La activación de todas las variables de validación puede resultar indebidamente restrictiva e impedir el acceso a los clientes que tienen conexiones a Internet que pasan a través de un servidor proxy o se originan detrás de un cortafuegos. Para obtener más información sobre las variables de sesión y su uso, consulte la documentación de administración del sistema para su sistema Linux®.

Para configurar la validación de la sesión:

  1. En la barra lateral Admin, vaya a Stores > Settings>Configuration.

  2. En el panel izquierdo, expanda General ​y elija Web.

  3. Expanda Selector de expansión en la sección Session Validation Settings.

  4. Establezca cada una de las opciones de configuración:

    • Validate REMOTE_ADDR — Se establece en Yes para comprobar que la dirección IP de una solicitud coincide con lo almacenado en la variable $_SESSION.

    • Validate HTTP_VIA — Se establece en Yes para comprobar que la dirección proxy de una solicitud entrante coincide con lo que está almacenado en la variable $_SESSION.

    • Validate HTTP_X_FORWARDED_FOR — Se establece en Yes para comprobar que la dirección de reenvío de una solicitud coincide con lo almacenado en la variable $_SESSION.

    • Validate HTTP_USER_AGENT — Se establece en Yes para comprobar que el explorador o dispositivo que se usa para tener acceso al almacén durante una sesión coincide con lo que se almacena en la variable $_SESSION.

  5. Una vez finalizado, haga clic en Save Config.

Duración de sesión de administrador

Como medida de seguridad, Admin se ha configurado inicialmente para que agote el tiempo de espera tras 900 segundos (15 minutos) de inactividad del teclado. Puede ajustar la duración de la sesión para adaptarla al estilo de trabajo.

Para ajustar la duración de la sesión de administración:

  1. En la barra lateral Admin, vaya a Stores > Settings>Configuration.

  2. Desplácese hacia abajo y expanda Advanced en el panel lateral izquierdo.

  3. Haga clic en Admin.

  4. Expanda Selector de expansión en la sección Security.

  5. Para Admin Session Lifetime (seconds), escriba el número de segundos que una sesión permanecerá activa antes de que se agote el tiempo de espera.

    Configuración avanzada - Configuración de seguridad de administración {width="600" modal="regular"}

  6. Una vez finalizado, haga clic en Save Config.## Duración de la sesión de administrador

Como medida de seguridad, Admin se ha configurado inicialmente para que agote el tiempo de espera tras 900 segundos (15 minutos) de inactividad del teclado. Puede ajustar la duración de la sesión para adaptarla al estilo de trabajo.

Para ajustar la duración de la sesión de administración:

  1. En la barra lateral Admin, vaya a Stores > Settings>Configuration.

  2. Desplácese hacia abajo y expanda Advanced en el panel lateral izquierdo.

  3. Haga clic en Admin.

  4. Expanda Selector de expansión en la sección Seguridad.

  5. Para Admin Session Lifetime (seconds), escriba el número de segundos que una sesión permanecerá activa antes de que se agote el tiempo de espera.

    Configuración avanzada - Configuración de seguridad de administración {width="600" modal="regular"}

  6. Una vez finalizado, haga clic en Save Config.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1