La naturaleza sin estado del protocolo HTTP hace que las organizaciones y los desarrolladores tengan que buscar formas para identificar univocamente a un visitante en una aplicación web.  Varios metodos han sido propuestos y usados, sin embargo, el más utilizado es el que hace uso de un ID de sesión único.  Desafortunadamente, en muchos casos se han aplicado incorrectamente estos ID de sesión haciendo que la aplicación "segura" esté abierta a posibles ataques.