El tiempo de espera de sesión puede prevenir o mitigar varios tipos de ataques. Lo siguiente viene a la mente.
Estación de trabajo no segura. Boss deja su escritorio para almorzar, el empleado se sienta y se da un aumento.
Dispositivos compartidos. Donald Trump usa un iPad de cortesía en el Resort Mar-a-la-go. Terrorista es capaz de obtener iPad después. Obtiene códigos nucleares.
Fuerza bruta. El ataque FREAK reduce la encriptación SSL / TLS a 512 bits; El conjunto de servidores que contiene 1,000 juegos PS-4 craquea la clave en poco más de 31 minutos.
Solo aquellos sitios con una sesión de 30 minutos escapan de una catástrofe.
Robo de identificador de sesión El troyano Odd Job infecta los navegadores de todo el mundo y envía las claves de la sesión a un pirata informático ubicado en Hoboken, Nueva Jersey. Hacker tiene todo el tiempo del mundo para examinar las claves cosechadas y usarlas para propósitos nefarios. Algunas de las claves ya no funcionarán cuando llegue a ellas, aquellas con tiempo de espera de sesión.
CSRF. Hacker envía un millón de correos electrónicos con un GIF divertido que enlaza a https://www.wellsfargo.com/Transfer.aspx?ToAccount=1234&Amount=100000
. Del millón de destinatarios de correo electrónico, 10,000 los abren. De ellos, 100 todavía están conectados a Wellsfargo porque el tiempo de espera de su sesión es demasiado largo. Hacker obtiene millones de $$$, se retira en Costa Rica, donde ahora pasa el tiempo publicando en Stack Exchange.
Si no implementas el tiempo de espera de sesión, eres más vulnerable a todos los tipos de ataques anteriores. El uso de una conexión HTTPS y / o el uso de un identificador de sesión criográfico y aleatorio son pasos buenos e importantes, pero ninguno de los dos salvó a nadie en los ataques anteriores.
Solo usted puede decidir si el riesgo de los ataques anteriores es lo suficientemente importante como para compensar los inconvenientes adicionales para el usuario final. Si es solo una aplicación social, tal vez no. Si es una aplicación bancaria, casi seguro que sí.