Предположим, у меня есть приложение для пирамиды, где я использую UnencryptedCookieSessionFactoryConfig
для токенов csrf и аутентификации с помощью SessionAuthenticationPolicy
. Тайм-аут по умолчанию для cookie сеанса равен 1200, что означает, что мой пользователь отключается через 20 минут, что довольно неприятно.Существует ли риск безопасности при изменении таймаута cookie сеанса?
У меня возникло соблазн поднять тайм-аут или даже удалить его, а также установить max_age, чтобы заставить его выжить в браузере, но я думаю, что тайм-аут существует по уважительной причине.
Есть ли риск для безопасности при наличии долгоживущих файлов cookie? Это считается плохой практикой?
Я предполагаю, что токен csrf должен быть недолговечным. В этом случае для аутентификации я должен использовать AuthTktAuthenticationPolicy
. Тот же вопрос: является ли файл cookie для проверки подлинности с max_age далеко в будущем плохой практикой?
Хорошо, спасибо за разъяснение. – madjar