Da OWASP:
In order to minimize the time period an attacker can launch attacks
over active sessions and hijack them, it is mandatory to set
expiration timeouts for every session, establishing the amount of time
a session will remain active. Insufficient session expiration by the
web application increases the exposure of other session-based attacks,
as for the attacker to be able to reuse a valid session ID and hijack
the associated session, it must still be active.
Tutto dipende dalla propensione al rischio dell'organizzazione. Ogni organizzazione effettuerà una valutazione del rischio e deciderà quale tipo di dati proteggono e quali sono i criteri ritenuti accettabili dai clienti in termini di usabilità. Ad esempio, Gmail potrebbe non scadere durante le sessioni perché si ritiene che il vantaggio degli utenti di non dover accedere ogni volta generi maggiori entrate rispetto alle perdite di reputazione che hanno quando viene violato un account Gmail a causa di cookie non scaduti. Ovviamente il contenuto di una casella di posta elettronica potrebbe essere sensibile o potrebbe non essere, è discutibile.
Le domande bancarie d'altra parte sono nel 99% dei casi che contengono denaro. Inoltre, l'uscita reputazionale del "cliente X della banca viene violato" genera più disordini rispetto all'esempio di Gmail. I clienti inizieranno a chiamare la banca preoccupata, potrebbero perdere clienti che credono che il loro sistema non sia sicuro, ecc ...
Alla fine si tratta solo di esaminare le minacce e le vulnerabilità e valutare quale sia il costo e il vantaggio di implementare i controlli di attenuazione (che in questo caso è la data di scadenza di una sessione).