Вспомнил после линча на тему безопасности одну проблему сервиса, которым я достаточно часто пользуюсь. Кажется, теперь я догадываюсь, откуда ноги там растут.
Рекомендация по безопасности от OWASP (описано в линче): удаляйте сессию на сервере для критичных приложений через 15 минут неактивности, для среднекритичных - через 30, для остальных - через час.
Теперь история:
Время от времени я планирую сложные маршруты на сайте Deutsch Bahn (Немецкая Железная Дорога). Ну там, пересадка там или сям, часом раньше - часом позже, тут чуть быстрее - а тут чуть дешевле. Тот, кто ездит или летает по новым маршрутам меня поймет. И вот нужное соединение найдено! Можно расслабиться и заскочить в фейсбучек, ну на 3 минутки всего. И вот эти козлы дропают мою сессию через 30 минут!!! А я же всего через час вернулся!
Мой вывод такой. Рекомендация в этом виде - вредная! Мое дополнение - разделяйте в вашем приложение части с критической безопасностью от прочих. В момент поиска я еще не залогинен, поэтому убивать мою сессию через 15-30 минут антигуманно! Когда я в стадии покупки билета - ради бога, тут задействованы личные и критичные данные, я согласен с тем, что уничтожение сессии - правильная идея.
Рекомендации - хорошо, рекомендации и здравый смысл - лучше!