whether the next packet of communication will be sent over the same connection or not
Quasi ma non esattamente. Non c'è "pacchetto" a questo livello di comunicazione, solo un flusso di dati. HTTP-Keep-alive consentirà più richieste HTTP sulla stessa connessione TCP / TLS invece di una sola non chiudendo la connessione immediatamente dopo la risposta HTTP ma mantenendo aperta per ulteriori richieste.
HTTP Keep-Alive header dictates
No, non impone nulla. Aggiungendo Connection: keep-alive
alla query (o implicitamente utilizzando HTTP / 1.1 invece di HTTP / 1.0) il client chiede cortesemente al server di non chiudere la connessione TCP dopo che la risposta è stata eseguita. Il server potrebbe essere d'accordo o no.
any client-server communication will take place over the same connection
Non necessariamente. Potrebbero esserci più connessioni TCP / TLS aperte in parallelo tra browser e server.
any client-server communication after 60 seconds of inactivity will reinitiate the SSL handshake and then proceed with requests and repsonses.
Client e server possono decidere di chiudere la connessione inattiva (ovvero nessuna risposta in sospeso) in qualsiasi momento ed entrambi hanno le loro impostazioni e timer indipendenti. Se la connessione viene chiusa e il client desidera effettuare una nuova richiesta, è necessario creare una nuova connessione TCP e per HTTPS è necessario riprendere una sessione SSL esistente in cima a questa connessione TCP o eseguire un handshake TLS completo per una nuova connessione TCP. Sessione SSL.
Also, how is this connected to a user's session inactivity timeout?
Questo è completamente non correlato. Le sessioni utente sono gestite a livello di applicazione. HTTP keep alive è gestito a livello di protocollo HTTP. È possibile avere più sessioni utente all'interno di una singola connessione TCP (con più richieste HTTP) e si può anche tenere una sessione utente su più connessioni TCP (entrambe una dopo l'altra e anche connessioni parallele).
What is the security risk of enabling persistent connection (HTTP Keep-Alive)?
Non ce n'è.