El proceso de completar una sesión consiste principalmente en comprobar que el usuario de la aplicación no se puede reutilizar después de que el usuario de la aplicación cierre la sesión. También debe comprobar cómo la aplicación administra los datos almacenados en memoria. Para minimizar la cantidad de tiempo que un atacante puede atacar una sesión activa y hacerse cargo de ella, establezca un tiempo de espera de expiración para cada sesión, especificando cuánto tiempo permanecerá activa. Establecer un tiempo de expiración de sesión demasiado largo para una aplicación web aumenta el riesgo de ataques activos basados en sesión. Cuanto más corto sea el intervalo de sesión, menos tiempo tendrá un atacante para hacerse cargo. Los valores de tiempo de espera de expiración de la sesión deben establecerse según el propósito y la naturaleza de la aplicación web, así como equilibrar la seguridad y la facilidad de uso para que el usuario pueda realizar cómodamente operaciones en la aplicación web sin perder la sesión con frecuencia. Los tiempos de espera de inactividad típicos son de 2 a 5 minutos para aplicaciones de alto riesgo y de 15 a 30 minutos para aplicaciones de bajo riesgo. La siguiente figura muestra la respuesta del servidor con el tiempo de validez de la cookie de sesión de un año demasiado largo.
