¿cuál es el problema de seguridad si el tiempo de espera de la sesión es IIS predeterminado?
¿Valor de sesión del servidor?
Por ejemplo, en un sistema de alta seguridad, como un banco, es posible que desees desconectar automáticamente al usuario si deja abierta su sesión.
Por ejemplo, Bob deja su computadora conectada a bank.example.com mientras él responde a la puerta. Es su amigo Alan, así que van a la cocina para hacer bebidas y se olvida de que está conectado.
Hijo de Bob, Chuck se acerca a la computadora portátil y puede transferirse un poco de dinero extra.
Lo mismo se aplica a otros entornos, como las oficinas, aunque se podría argumentar que los empleados deben bloquear sus pantallas al dejar su escritorio.
Mi punto es que todo depende del apetito de riesgo de su aplicación. Muchos sitios en estos días, como Facebook y Google, parecen dejarte conectado durante un período prolongado. Esto deja su sistema expuesto a compromisos de sesión como CSRF y XSS en caso de que existan vulnerabilidades en su sistema. Es decir, el atacante tiene una ventana grande para ejecutar su ataque. Definitivamente para CSRF, aunque para XSS depende de si la instancia del ataque funciona para una sesión recién establecida.
Los tiempos de espera de sesión grandes también pueden causar una carga adicional del servidor, a menos que esto se tenga en cuenta en la arquitectura (por ejemplo, almacenar sesiones en una base de datos externa en lugar de en la memoria del servidor).
Los pequeños tiempos de espera pueden molestar a los usuarios y hacer que cambien su contraseña a algo muy fácil de escribir, aunque nuevamente deberían usar administradores de contraseñas para sus inicios de sesión.
En resumen, depende de su aplicación, su sensibilidad, sus entornos de uso y su tipo de usuarios.