En una aplicación web, el tiempo de espera de sesión no está definido ni en la aplicación ni en la configuración de la aplicación. Pero el tiempo de espera predeterminado se toma de IIS. ¿Cuál es el problema de seguridad si el tiempo de espera de la sesión es el valor predeterminado de la sesión del servidor IIS? ¿El problema varía de IIS a la esfera web?
Una prueba de lápiz podría interpretar la presencia de configuraciones de tiempo de espera predeterminadas como una indicación de que se olvidó de establecerla.
El tiempo de espera debe establecerse de una manera que sea específica para la aplicación. Por ejemplo, si maneja tarjetas de crédito, PCI-DSS requiere un tiempo de espera inactivo de 15 minutos.
¿cuál es el problema de seguridad si el tiempo de espera de la sesión es IIS predeterminado? ¿Valor de sesión del servidor?
Por ejemplo, en un sistema de alta seguridad, como un banco, es posible que desees desconectar automáticamente al usuario si deja abierta su sesión.
Por ejemplo, Bob deja su computadora conectada a bank.example.com mientras él responde a la puerta. Es su amigo Alan, así que van a la cocina para hacer bebidas y se olvida de que está conectado.
Hijo de Bob, Chuck se acerca a la computadora portátil y puede transferirse un poco de dinero extra.
Lo mismo se aplica a otros entornos, como las oficinas, aunque se podría argumentar que los empleados deben bloquear sus pantallas al dejar su escritorio.
Mi punto es que todo depende del apetito de riesgo de su aplicación. Muchos sitios en estos días, como Facebook y Google, parecen dejarte conectado durante un período prolongado. Esto deja su sistema expuesto a compromisos de sesión como CSRF y XSS en caso de que existan vulnerabilidades en su sistema. Es decir, el atacante tiene una ventana grande para ejecutar su ataque. Definitivamente para CSRF, aunque para XSS depende de si la instancia del ataque funciona para una sesión recién establecida.
Los tiempos de espera de sesión grandes también pueden causar una carga adicional del servidor, a menos que esto se tenga en cuenta en la arquitectura (por ejemplo, almacenar sesiones en una base de datos externa en lugar de en la memoria del servidor).
Los pequeños tiempos de espera pueden molestar a los usuarios y hacer que cambien su contraseña a algo muy fácil de escribir, aunque nuevamente deberían usar administradores de contraseñas para sus inicios de sesión.
En resumen, depende de su aplicación, su sensibilidad, sus entornos de uso y su tipo de usuarios.
Lea otras preguntas en las etiquetas web-application webserver session-management iis