Recibo que los sitios web que contienen información personal confidencial (por ejemplo, el sistema bancario) tienen sesiones cortas y tiempo de vencimiento de las cookies por razones obvias.
Pero, ¿cuáles son las causas de que los sitios, como Wikipedia, requieran iniciar sesión cada 30 días (solían ser 14), mientras que los sitios supuestamente más sensibles como Gmail no? ¿Es solo la preferencia personal de los administradores del sistema o algo más?
Desde OWASP:
Para minimizar el período de tiempo que un atacante puede lanzar ataques Durante las sesiones activas y secuestrarlas, es obligatorio establecer Tiempos de expiración para cada sesión, estableciendo la cantidad de tiempo una sesión permanecerá activa. Insuficiente expiración de sesión por el aplicación web aumenta la exposición de otros ataques basados en sesión, en cuanto al atacante para poder reutilizar un identificador de sesión válido y secuestrar la sesión asociada, todavía debe estar activa.
Todo depende del apetito de riesgo de la organización. Cada organización realizará una evaluación de riesgos y decidirá qué tipo de datos están protegiendo y qué encuentran aceptables para sus clientes en términos de usabilidad. Por ejemplo, es posible que Gmail no expire sus sesiones porque se considera que el beneficio de los usuarios no tener que iniciar sesión cada vez genera más ingresos que las pérdidas de reputación que tienen cuando se piratea una cuenta de Gmail debido a cookies no caducadas. Por supuesto, el contenido de una bandeja de entrada de correo electrónico puede ser delicado o puede no serlo, es discutible.
Las solicitudes bancarias, por otro lado, están en el 99% de los casos que contienen dinero. Además, el emblema de reputación de "hackear al cliente del banco X" genera mucha más inquietud que el ejemplo de Gmail. Los clientes comenzarán a llamar al banco preocupado, podrían perder clientes que crean que su sistema no es seguro, etc. ...
Al final, solo tiene que ver sus amenazas y vulnerabilidades y evaluar cuál es el costo y el beneficio de implementar controles atenuantes (que en este caso es la fecha de vencimiento de una sesión).
Lea otras preguntas en las etiquetas cookies session-management