Яким має бути тайм-аут сеансу?

Для дуже чутливих програм тайм-аут становить 5-15 хвилин доцільно посилити безпеку. Програми з менш конфіденційними даними можуть мати довший тайм-аут від 15 до 30 хвилин. Важливо, що після закінчення сеансу маркер сеансу має бути повністю недійсним, щоб запобігти подальшому використанню. 8 березня 2023 р.

Загальні діапазони часу простою: 2-5 хвилин для програм високої вартості та 15-30 хвилин для програм з низьким ризиком.”

Більшість веб-адміністраторів встановлюють для цієї властивості значення 8 хвилин. Тривалість не повинна перевищувати 20 хвилин (за винятком особливих випадків), оскільки кожен відкритий сеанс зберігається в пам’яті. Його також не слід встановлювати менше 4 хвилин, оскільки клієнти рідко відповідають протягом цього часу, що призводить до втрати стану сеансу.

Він вважає, що більший час простою (15-30 хвилин) прийнятні для програм із низьким рівнем ризику. З іншого боку, NIST рекомендує розробникам додатків робити повторну автентифікацію своїх користувачів кожні 12 годин і завершувати сесії після 30 хвилин бездіяльності.

Час очікування сеансу визначає, як довго сервер підтримує сеанс, якщо користувач явно не робить сеанс недійсним. Значення за замовчуванням: 30 хвилин.

З мого досвіду, відповідний час очікування сеансу для веб-додатків має залежати від чутливості даних. Для дуже чутливих програм тайм-аут становить 5-15 хвилин доцільно посилити безпеку. Програми з менш конфіденційними даними можуть мати довший тайм-аут від 15 до 30 хвилин.