ich bin hier ohne praktische erfahrung, aber 500ms wirkt mir sehr kurz, in der Zeit würde ich auf meinem Handy die zwei Sicherheitsabfragen (Browser + OS), die ich positiv beantworten müsste, vermutlich nicht schaffen (ok, zusätzlich müsste ich noch die Positionsbestimmung einschalten und da auf ein Ergebnis warten).

Wenn noch keine Berechtigungen erteilt sind, dann läuft auch die Uhr für den Timeout noch nicht http://www.w3.org/TR/geolocation-API/#rate-limit. Eine halbe Sekunde erschien mir plausibel, es muss dennoch keine gute Wahl sein. Ich weiß auch nicht, was man da typischerweise einträgt. Mit 0 wird jedenfalls sofort ein Fehler ausgelöst.