Was ist eine Session-ID?
Bei der Session-ID handelt es sich um eine einzigartige Identifikationsnummer bzw. Sitzungsnummer, die von einem Server generiert wird, um mehrere zusammengehörige Anfragen eines Webseiten-Besuchers zu erkennen und einer Sitzung zuzuordnen.
Die Session-ID wird in einem Cookie hinterlegt und lokal auf dem Rechner des Users abgelegt.
Wo werden Session-IDs eingesetzt und wie funktionieren sie?
Ohne Session-IDs wäre das Einkaufen in einem Onlineshop wohl ziemlich frustrierend. Die mithilfe eines Cookies gespeicherte Session-ID ermöglicht es beispielsweise überhaupt erst, dass in einem virtuellen Warenkorb gespeicherte Produkte nicht verloren gehen, sobald wir die Seite schließen oder uns weitere Angebote des Verkäufers ansehen.
Für jeden Webseiten-Besucher wird daher eine individuelle Session-ID für den jeweiligen Warenkorb als Cookie abgelegt und die im Warenkorb enthaltenen Artikel werden über spezielle Kundennummern dieser Session-ID zugeordnet.
Ruft ein Besucher nun nach Verlassen des Shops die Seite erneut auf, wird der Cookie mit der enthaltenen Session-ID übermittelt, sodass der Server die vorherige Sitzung des Besuchers wiederherstellen kann. Durch ein Time-out wird die Sitzung in der Regel nach einer bestimmten Zeit automatisch beendet und die gespeicherte Session-ID gelöscht.
Hat ein Nutzer die Speicherung von Cookies deaktiviert, kann die Session-ID alternativ vom Browser als Parameter an die URL der Webseite angehängt werden.
Eine URL mit angehängter Session-ID ist stets einzigartig und könnte beispielsweise so aussehen:
https://www.onlineshop.de/warenkorb?sid=453475397549375394ddjd_478493758989dasd
Ein Link mit einer angehängten Session-ID kann nicht als Lesezeichen abgespeichert werden. Für den Shopbetreiber kann das ärgerlich sein, da Nutzer so die Motivation verlieren, nach Verlassen der Seite wieder zurückzukehren.
Sicherheitsbedenken bei der Verwendung von Session-IDs
Theoretisch kann ein Nutzer seine Session-ID so lange modifzieren, bis er (zufällig) die Session-ID eines anderen Users aufruft. Dadurch wäre er in der Lage, die gespeicherten persönlichen Daten des Users auszuspähen und zu manipulieren.
Um das Risiko des sogenannten Hijackings zu reduzieren, werden Session-IDs möglichst kompliziert mithilfe einer großen Anzahl von Zahlen, kombiniert mit Buchstaben angelegt. Dadurch wird die Wahrscheinlichkeit, zufällig eine andere Session-ID aufzurufen, drastisch minimiert.
Bedeutung von Session-IDs für SEO
Eine an die URL angehängte Session-ID ist für die Suchmaschinenoptimierung problematisch, da hierdurch schnell Duplicate Content entstehen kann. Ruft der Google-Crawler eine solche URL auf, kann es passieren, dass er bei jedem erneuten Aufruf eine neue ID in der URL ausgeliefert bekommt. Während sich die URLs also voneinander unterscheiden, bleibt der Inhalt der Seite jedoch immer derselbe. Dies führt zwangsläufig dazu, dass die Seite von Google als Duplicate Content gewertet wird, was zu einer Herabstufung im Ranking führen kann.
Wenn möglich, sollte also auf parametrisierte Session-IDs vollständig verzichtet werden. Ist dies nicht möglich, sollte die ursprüngliche URL – ohne angehängte Session-ID – mithilfe des Canonical Tags gekennzeichnet werden. Mit dem Canonical Tag kann Google mitgeteilt werden, welches die Originalversion einer URL darstellt. Alle weiteren URLs mit demselben Inhalt werden daraufhin von Google ignoriert.
