Sessioni ospiti e CSRF [duplicato]

Raccomando di utilizzare diversi identificativi univoci in questo caso, ad es. cookie dell'utente con una stringa casuale e univoca, ad esempio USER_ID e un token di sessione, ad es. SESSID. Il token di sessione dovrebbe scadere come previsto, tuttavia rimane USER_ID. In questo modo sarai in grado di identificare gli utenti che hanno già visitato il tuo sito Web e utilizzare ancora il nuovo SESSID come protezione contro CSRF.

L'estensione della durata delle sessioni non è una buona idea, soprattutto se si utilizza questo token per verificare l'identità dell'utente (nel caso di account amministratore).

Dipende da quanto sono sensibili le azioni che gli utenti possono intraprendere e da quanto sei sicuro che i token di sessione siano sicuri. Ad esempio, la maggior parte delle banche distruggerà automaticamente le sessioni dopo aver dichiarato 15 minuti di inattività, mentre le sessioni dell'account Google possono durare indefinitamente.

Se imposti i flag HttpOnly e Secure sul tuo cookie di sessione, puoi essere ragionevolmente sicuro che non può essere facilmente rubato e personalmente mi sentirei a mio agio con esso per più di un mese. Se non puoi usare HttpOnly e Secure (specialmente Secure) probabilmente lo limiterei a meno di un giorno, o anche un'ora.

Se sto capendo correttamente la risposta di Valery Marchuk, non fornirebbe alcun beneficio e renderei il dirottamento di sessione banale se USER_IDs sono prevedibili (vorrei commentare ma non ho 50 rep).