what is the security issue if the session time-out is default IIS
server session value?
Dì su un sistema di sicurezza elevato, come una banca, potresti voler automaticamente disconnettere l'utente se lascia la sessione aperta.
es. Bob lascia il suo computer collegato a bank.example.com mentre risponde alla porta. È il suo amico Alan, quindi vanno in cucina a fare da bere e dimentica che ha effettuato l'accesso.
Il figlio di Bob, Chuck si avvicina al laptop e può trasferirsi un po 'di soldi in più.
Lo stesso vale per altri ambienti, come gli uffici, anche se si potrebbe sostenere che i dipendenti dovrebbero bloccare i propri schermi quando lasciano la scrivania.
Il mio punto è che tutto dipende dalla propensione al rischio della tua applicazione. Molti siti in questi giorni, come Facebook e Google, sembrano lasciare l'accesso per un lungo periodo. Ciò lascia il sistema esposto a compromissioni di sessione come CSRF e XSS nel caso in cui tali vulnerabilità esistano sul tuo sistema. Cioè, l'attaccante ha una grande finestra in cui eseguire il loro attacco. Sicuramente per CSRF, anche se per XSS dipende dal fatto che l'istanza dell'attacco funzioni per una sessione appena stabilita.
I timeout delle sessioni di grandi dimensioni possono anche causare un carico aggiuntivo del server, a meno che ciò non sia tenuto in considerazione nell'architettura (ad esempio, l'archiviazione delle sessioni in un DB esterno invece che nella memoria del server).
Piccoli timeout possono infastidire gli utenti e indurli a cambiare la loro password in qualcosa di molto facile da digitare, anche se di nuovo dovrebbero usare gestori di password per i loro accessi.
Quindi in sintesi dipende dall'applicazione, dalla sua sensibilità, dai suoi ambienti di utilizzo e dal tipo di utente.