セッションを完了するプロセスは、主に、アプリケーション ユーザーがログオフした後にアプリケーションのユーザーを再利用できないことを確認することです。 また、メモリに格納されているデータをアプリケーションがどのように管理するかを確認する必要があります。 アクティブなセッションを攻撃して引き継ぐ時間を最小限に抑えるには、セッションごとに有効期限のタイムアウトを設定し、アクティブな状態を維持する時間を指定します。 セッションの有効期限が長すぎると、アクティブなセッションベースの攻撃のリスクが高まります。 セッション間隔が短いほど、攻撃者が引き継ぐ時間が短くなります。 セッション有効期限のタイムアウト値は、Web アプリケーションの目的と性質に従って設定するとともに、セキュリティとユーザビリティのバランスをとり、ユーザーが頻繁にセッションを失うことなく Web アプリケーションで操作を実行できるようにする必要があります。 通常のアイドル タイムアウトは、リスクの高いアプリケーションでは 2 ~ 5 分、低リスク アプリケーションでは 15 ~ 30 分です。 次の図は、セッション Cookie の有効期間が 1 年長すぎるサーバー応答を示しています。
