Por que a duração da sessão padrão é de 24 minutos (1440 segundos)?

Eu tenho feito algumas pesquisas sobre manipulação de sessão PHP e encontrei o session.gc_maxlifetimevalor de 1440 segundos. Tenho me perguntado por que o valor padrão é 1440 e como ele é calculado? Qual é a base para este cálculo?

Por quanto tempo faz sentido manter as sessões? Quais valores mínimo / máximo para session.gc_maxlifetime você recomendaria? Quanto maior o valor, mais vulnerável o Web-App é para Session Hijacking, eu diria.

A verdadeira resposta é provavelmente muito próxima a esta:

Na época do PHP3, o próprio PHP não tinha suporte de sessão.

Mas uma biblioteca de código aberto chamada PHPLIB, inicialmente escrita por Boris Erdmann e Kristian Koehntopp da NetUSE AG, fornecia sessões via código PHP3.

A duração da sessão foi definida em minutos , não segundos. E a vida útil padrão era de 1440 minutos, ou exatamente um dia. Esta é a linha de código de PHPLIB:

var $gc_time  = 1440;       ## Purge all session data older than 1440 minutes.

Sascha Schumann esteve envolvido com o projeto PHPLIB por volta do período de 1998 a 2000. Não há dúvida de que ele estava familiarizado com o código de sessão PHP3.

Então o PHP4 foi lançado no ano 2000 com suporte a sessão nativa, mas agora o tempo de vida era especificado em segundos.

Aposto que alguém nunca se preocupou em converter minutos em segundos. É provável que essa pessoa fosse Sascha Schumann. Depois que esse valor foi codificado no motor Zend, ele também se tornou o php.inipadrão de configuração ( ).

1440 é usado em um cálculo de tempo transformando segundos em horas / dias.

• 1 dia = 24 horas (horas * 24 = 1 dia)
• dia = 1440 minutos (minutos * 60 * 24 = 1 dia)
• dia = 86400 segundos (segundos * 60 * 1440 = 1 dia)

Exemplo:

9 dias [* 60] = 540 [* 1440] = 777600 segundos

O mesmo é verdade ao contrário:

777600 segundos [/ 1440] = 540 [/ 60] = 9 dias