L’examen du processus de fin de session consiste principalement à vérifier qu’il n’est pas possible de réutiliser son ID de session après la déconnexion de l’utilisateur de l’application. Vérifiez également comment l’application gère les données stockées en mémoire. Pour réduire au minimum le temps qu’un attaquant peut mener une attaque contre une session active et la prendre en charge, définissez un délai d’expiration pour chaque session, en précisant la durée pendant laquelle elle restera active. Si une application Web expire trop longtemps, les sessions augmentent les risques liés aux attaques basées sur la session active. Plus l’intervalle de session est court, moins l’attaquant a de temps pour la prendre en charge. Les valeurs de délai d’expiration de la session doivent être définies en fonction du but et de la nature de l’application Web, ainsi que l’équilibrage de la sécurité et de l’utilité, afin que l’utilisateur puisse effectuer confortablement des opérations dans l’application Web sans perdre fréquemment de session. Les délais d’inactivité courants sont de 2 à 5 minutes pour les applications à haut risque et de 15 à 30 minutes pour les applications à faible risque. La figure ci-dessous montre la réponse du serveur dont la durée de validité du cookie de session est trop longue.
