Hacker News 의견

• 은행 및 금융 앱에서는 짧은 세션 만료가 흔히 보이며, 이는 광범위한 사용자 기반, 기회주의적 공격자에 대한 매력, 그리고 스트레스나 비정상적인 상황에서의 사용 때문에 변호 가능하다.
• 신뢰할 수 있는 백채널이 없어 신원 제공자가 서비스에 세션 만료를 알리는 것이 불가능한 경우, 부족한 인증 표준을 해결하기 위해 짧은 세션 만료가 자주 사용된다.
• 공유 장치에서의 애플리케이션 사용 위협은 문제가 되며, 특히 가족과 같이 장치가 공유되는 환경에서는 세션 만료가 애플리케이션 특정이어야 한다.
• 일부 사용자들은 짧은 세션 만료가 사용성을 희생하여 보안 조치로 사용되는 것을 주장하며, 자기 결제 시스템의 예를 들어 보인다.
• 사용자 분리가 없는 공유 컴퓨터는 현실이며, 이들은 종종 민감한 정보를 가진 웹 애플리케이션에 접근하는 데 사용된다.
• 이 기사는 근거 없는 가정을 하고, 상상 속의 최종 사용자 설정을 기반으로 짧은 세션을 보안 제어로 배제하는 것에 대해 비판받고 있다.
• 일부 사용자들은 Google이 짧은 세션을 사용하지 않는 결정이 보안 우려보다는 광고 목적으로 더 많은 사용자 데이터를 수집하려는 욕구에서 비롯된 것일 수 있다고 주장한다.
• 짧은 세션은 사용자에게 적대적이고 불편할 수 있으며, 특히 작업 흐름을 방해하고 경고 없이 재인증을 요구할 때 그렇다.
• 일부 사용자들은 더 긴 세션 시간 제한을 선호하며, 짧은 세션 시간 제한은 비효과적이며 감사자와 펜테스터에 의한 체크박스 테스트를 만족시키는 데만 사용된다고 주장한다.
• 사용자 활동에 따라 재설정되는 소프트 세션 시간 제한과 사용자 활동에 관계없이 일정 기간 후 세션을 종료하는 하드 세션 시간 제한 사이에는 차이가 있다.