ただ、
＞セッションの有効期限を長くしすぎると、
＞サーバの接続数（=店のキャパシティ）が限界を超えて、サイトに接続できなくなるかもしれない
という説明だと、まるで技術的制限(たとえば、サーバへの同時接続数の制限のような)によりタイムアウトせざるを得ないように読めてしまったので、そうじゃないと思う、という指摘でした。

なぜなら、その場合このリスクに限らず、パスワードを保存していた場合など、利用者個人の管理体制のもろさに起因する様々なリスクが存在するのではないかと。Amazonに行ったらワンクリック・ノーインプットで買えるようにパスワードを自動設定していたら、同じようなリスクがありますよね。

だから、その場合セッションタイムアウト処理ではなくて、購入とかそういうお金が絡むような重大な処理時にパスワード以外の本人しか知らないような情報をもう一度訊くという対応が必要ではないかと思うのです。

・ユーザーAがユーザー名とパスワードを入れてある商品を買おうとしました。
・ユーザーAは何らかの原因で、清算前にパソコンを離れてしまいました
・そこへふらりとユーザーBがやってきて、清算前のカゴに他の商品を追加して、そのまま精算してしまいました。

というような事態を防ぐためにタイムアウトさせるのだと理解しています。

なので、カゴに商品を追加した後、店内を見て回っている間はタイムアウトしないようにするのが普通だと思うのですけど…そうなっていないですか？