I siti web che contengono informazioni personali riservate (ad es. sistema bancario) hanno brevi sessioni e tempo di scadenza per i cookie per ovvi motivi.
Ma quali sono le cause dei siti, ad esempio Wikipedia, per richiedere l'accesso ogni 30 giorni (utilizzato per essere 14), mentre i siti apparentemente più sensibili come Gmail non lo fanno? Questa è solo la preferenza personale degli amministratori di sistema o qualcosa di più?
Da OWASP:
In order to minimize the time period an attacker can launch attacks over active sessions and hijack them, it is mandatory to set expiration timeouts for every session, establishing the amount of time a session will remain active. Insufficient session expiration by the web application increases the exposure of other session-based attacks, as for the attacker to be able to reuse a valid session ID and hijack the associated session, it must still be active.
Tutto dipende dalla propensione al rischio dell'organizzazione. Ogni organizzazione effettuerà una valutazione del rischio e deciderà quale tipo di dati proteggono e quali sono i criteri ritenuti accettabili dai clienti in termini di usabilità. Ad esempio, Gmail potrebbe non scadere durante le sessioni perché si ritiene che il vantaggio degli utenti di non dover accedere ogni volta generi maggiori entrate rispetto alle perdite di reputazione che hanno quando viene violato un account Gmail a causa di cookie non scaduti. Ovviamente il contenuto di una casella di posta elettronica potrebbe essere sensibile o potrebbe non essere, è discutibile.
Le domande bancarie d'altra parte sono nel 99% dei casi che contengono denaro. Inoltre, l'uscita reputazionale del "cliente X della banca viene violato" genera più disordini rispetto all'esempio di Gmail. I clienti inizieranno a chiamare la banca preoccupata, potrebbero perdere clienti che credono che il loro sistema non sia sicuro, ecc ...
Alla fine si tratta solo di esaminare le minacce e le vulnerabilità e valutare quale sia il costo e il vantaggio di implementare i controlli di attenuazione (che in questo caso è la data di scadenza di una sessione).
Leggi altre domande sui tag cookies session-management