Theoretisch ja. Wenn die Sitzung erst nach x Minuten ausläuft, hat ein Angreifer die Chance innerhalb dieser x Minuten deine Sitzungs-ID vorzugaukeln und sich Zugang zu deinem Account zu verschaffen.

Hallo,

so ganz verstehe ich das nicht. Wo ist der Unterschied, ob ich den Browser einfach schliesse oder still vor meinem Rechner sitze und z.B. bei EBay auf das Auslaufen einer Auktion warte?
Oder ob ich meine E-Mails gerade lese und somit ja auch inaktiv bin?

Die Sitzung ist in beiden Fällen noch nicht ausgelaufen. Kann denn jemand auch in diesem Fall meine Sitzung kapern?
Wenn nein, warum geht das in dem einen Fall und in dem anderen Fall nicht?

Gruß
Lena