ASVS: (...) sessions timeout after a specified period of inactivity

Już jutro spotkanie krakowskie spotkanie OWASP. Jednym z jego punktów będzie panel dyskusyjny dotyczący ASVS. A ja już dzisiaj chciałbym zachęcić wszystkich do przejrzenia listy ASVS i zastanowienia się, czy aby na pewno wszystkie jej elementy są dobrze i jednoznacznie zrozumiałe. Przykład:

V3.4: Verify that sessions timeout after a specified period of inactivity.

A co w przypadku aplikacji, która intensywnie pobiera informacje w tle (AJAX, JSON) przez co sama, bez “współpracy” użytkownika, podtrzymuje sesję?

Oryginał tego wpisu dostępny jest pod adresem ASVS: (...) sessions timeout after a specified period of inactivity

Autor: Paweł Goleń